Malware em .NET combina keylogging, phishing WPF e sequestro avançado de sessões RDP
Uma nova campanha de ataques digitais revelou o uso de um toolkit de acesso remoto de provável origem russa, desenvolvido em .NET, que eleva o patamar de sofisticação do cibercrime. Esse conjunto de ferramentas, batizado de CTRL, está sendo distribuído por meio de arquivos maliciosos no formato LNK do Windows, cuidadosamente disfarçados como pastas contendo chaves privadas, o que aumenta a taxa de sucesso da engenharia social.
A estratégia inicial dos criminosos é simples, porém eficaz: fazer com que o usuário acredite estar abrindo uma pasta legítima, quando na verdade está executando um atalho armado. Ao clicar nesse arquivo LNK, a vítima desencadeia, sem perceber, uma cadeia de ataque em múltiplas etapas, controlada por scripts PowerShell ocultos e projetada para burlar defesas tradicionais.
Assim que o LNK é executado, comandos em PowerShell são disparados em segundo plano. O processo é fragmentado em várias fases, e cada estágio tem a função de descriptografar ou descompactar o próximo componente do ataque. Essa técnica de execução em camadas aumenta a furtividade do malware, dificultando a detecção por antivírus e soluções de monitoramento comportamental.
Ao final dessa sequência, o toolkit CTRL é instalado de forma completa no sistema comprometido. Durante o processo de infecção, o malware pode remover mecanismos de persistência de outras ameaças já presentes, ajustar e manipular regras do firewall do Windows, criar novos usuários locais com acesso de backdoor e estabelecer comunicação inicial com infraestrutura externa para obter módulos adicionais conforme a necessidade do operador.
Uma vez consolidado no ambiente da vítima, o controle remoto é mantido principalmente por meio de túneis reversos utilizando a ferramenta Fast Reverse Proxy (FRP). Esse mecanismo permite que o invasor acesse o computador infectado de fora da rede, contornando filtros tradicionais e reduzindo a visibilidade do tráfego malicioso em soluções de segurança baseadas apenas em inspeção de rede.
Um dos aspectos mais perigosos do CTRL é o conjunto de técnicas avançadas voltadas ao roubo de credenciais. O malware utiliza uma interface gráfica falsa, desenvolvida em WPF (Windows Presentation Foundation), que imita com grande fidelidade o prompt de autenticação do Windows Hello. Essa tela forjada solicita o PIN do usuário e transmite uma sensação de legitimidade, o que contribui para que a vítima forneça seus dados sem suspeitar.
Mesmo quando o PIN correto é inserido, a interface falsa continua ativa, como se houvesse algum erro temporário. Enquanto isso, em segundo plano, o malware registra silenciosamente as informações inseridas e as encaminha para o operador malicioso. Paralelamente, um keylogger é ativado para capturar todas as teclas digitadas no sistema, ampliando a capacidade de coleta de credenciais, mensagens, dados bancários e outras informações sensíveis.
Além do phishing visual e do keylogging, o toolkit se destaca pelo sequestro avançado de sessões RDP (Remote Desktop Protocol). O CTRL é capaz de manipular e habilitar múltiplas sessões RDP simultâneas, permitindo que o atacante se conecte ao ambiente comprometido sem interromper a sessão ativa do usuário legítimo. Em muitos casos, o invasor consegue observar, interagir e até assumir o controle de ações críticas sem ser percebido imediatamente.
Outro componente relevante do toolkit é a criação de shells TCP acessíveis remotamente, que funcionam como portas de entrada adicionais para o invasor. Por meio desses shells, é possível executar comandos diretamente no sistema comprometido, movimentar arquivos, instalar novos módulos maliciosos ou até usar a máquina da vítima como ponto de apoio para atacar outros alvos na mesma rede.
A arquitetura de comunicação do CTRL também merece atenção. Em vez de utilizar canais tradicionais de comando e controle (C2) baseados em HTTP, HTTPS ou DNS – que costumam gerar padrões de tráfego mais fáceis de identificar -, o malware faz uso intensivo de pipes nomeados dentro do próprio sistema operacional. Isso permite que múltiplos componentes do toolkit se comuniquem internamente mantendo o tráfego de comandos em nível local, reduzindo superfícies de monitoramento.
A comunicação com o exterior é, em grande parte, encapsulada em sessões RDP encaminhadas por túneis FRP. Essa abordagem cria uma espécie de “túnel dentro do túnel”, dificultando a análise forense e a correlação de eventos de rede. Como o tráfego se assemelha a sessões remotas legítimas, soluções de segurança que dependem apenas da detecção de padrões de beaconing ou anomalias simples na rede tendem a apresentar menor eficácia.
Somado a isso, o toolkit inclui mecanismos para envio de notificações falsas que imitam alertas de navegadores amplamente utilizados, como Chrome, Edge e Opera. Essas notificações podem ser usadas para induzir o usuário a clicar em botões maliciosos, informar credenciais adicionais, autorizar permissões ou baixar supostos “atualizadores” que, na prática, são novos módulos de malware.
Esse conjunto de funcionalidades transforma o CTRL em uma plataforma completa de controle remoto, espionagem e persistência. A modularidade permite que ataques sejam adaptados conforme o perfil da vítima: desde o simples roubo de dados pessoais até o comprometimento profundo de infraestruturas corporativas, com movimentação lateral e escalonamento de privilégios.
Especialistas em segurança veem nesse tipo de toolkit uma evolução clara do cibercrime em direção a ferramentas altamente customizadas e voltadas para operadores específicos. Diferentemente de malwares massivos e genéricos, soluções como o CTRL são criadas para obter máxima furtividade, operar por longos períodos sem serem detectadas e entregar ao atacante um ambiente estável, com recursos avançados de controle e monitoramento.
Ao adotar canais de comunicação menos convencionais, evitar padrões típicos de C2 e focar na evasão de análises forenses, campanhas baseadas nesse tipo de ferramenta tornam a detecção e a resposta a incidentes significativamente mais complexas. Equipes de segurança precisam lidar não apenas com a identificação do ponto inicial de infecção, mas também com a reconstrução de túneis, sessões RDP sequestradas e ações realizadas por meio de shells remotos.
Do ponto de vista defensivo, é fundamental reforçar a conscientização dos usuários sobre os riscos de abrir arquivos LNK, especialmente quando disfarçados como pastas ou documentos sensíveis, como chaves privadas. Mesmo em ambientes corporativos com soluções avançadas de proteção, um único clique em um atalho malicioso pode abrir a porta para um comprometimento profundo e silencioso.
Medidas como o endurecimento de políticas de execução de scripts PowerShell, o monitoramento rigoroso da criação de novos usuários locais, a auditoria de alterações em regras de firewall e o acompanhamento de sessões RDP ativas podem ajudar a identificar comportamentos suspeitos associados a toolkits como o CTRL. O uso de soluções de EDR (Endpoint Detection and Response) com foco em comportamento, em vez de apenas assinaturas, também se torna cada vez mais indispensável.
Empresas e profissionais de TI devem ainda considerar a segmentação de rede e a limitação de acesso remoto apenas a canais e dispositivos estritamente necessários. Quanto menor a superfície de exposição de RDP e serviços similares, mais difícil se torna para atacantes explorarem essas tecnologias como vetores de persistência e movimentação dentro do ambiente.
Outro ponto crítico é a gestão de credenciais. O uso de autenticação multifator, senhas robustas, políticas de expiração e monitoramento constante de tentativas de login incomuns reduz o impacto de ataques baseados em keylogging e roubo de PIN. Ainda que o malware consiga capturar dados de autenticação, camadas adicionais de segurança podem impedir que esses dados sejam imediatamente reutilizados.
Por fim, a tendência representada por malwares como o CTRL indica que o cenário de ameaças continuará se sofisticando, com foco em ataques direcionados, difícil rastreabilidade e uso inteligente de recursos legítimos do sistema operacional. A resposta eficaz passa por uma combinação de tecnologia, processos bem definidos e capacitação contínua de usuários e equipes técnicas, para que vetores como arquivos LNK e sessões RDP não se tornem portas abertas para invasores altamente preparados.