LabubaRAT: malware em Rust se passa por software da NVIDIA

LabubaRAT: como o malware em Rust que se disfarça de software da NVIDIA amplia os riscos para ambientes Windows

Os ataques modernos deixaram de depender apenas de códigos maliciosos sofisticados. Atualmente, uma parcela significativa do sucesso de uma campanha está relacionada à capacidade dos atacantes de fazer com que um arquivo pareça legítimo. O LabubaRAT representa exatamente essa abordagem ao utilizar um executável que se apresenta como um componente relacionado à NVIDIA para conquistar a confiança inicial do usuário e estabelecer acesso persistente em sistemas Windows.

Segundo pesquisadores da Blackpoint Cyber, trata-se de um trojan de acesso remoto (Remote Access Trojan – RAT) desenvolvido em Rust e até então não documentado publicamente. O malware foi projetado para criar um ponto de apoio reutilizável dentro do ambiente comprometido, permitindo que operadores executem diversas atividades de forma remota.

O diferencial observado pelos pesquisadores não está apenas nas funcionalidades tradicionais de um RAT, mas na maneira como sua arquitetura foi construída para ser reutilizada em diferentes campanhas. A configuração dinâmica, múltiplos canais de comunicação e armazenamento local das informações tornam o implante flexível para diferentes operadores.

Essa característica aumenta a importância da detecção precoce. Organizações que dependem exclusivamente da identificação de indicadores estáticos podem enfrentar dificuldades para reconhecer implantes cuja infraestrutura seja alterada durante a execução.

O desafio estratégico representado pelos RATs modernos

Historicamente, trojans de acesso remoto são utilizados para fornecer controle contínuo sobre sistemas comprometidos. Entretanto, o LabubaRAT demonstra uma evolução importante ao combinar persistência, coleta de informações do ambiente e diferentes mecanismos de comunicação dentro de um único implante.

Na prática, isso significa que um único executável é capaz de realizar desde o reconhecimento inicial do equipamento até a execução de comandos enviados pelo operador, reduzindo a necessidade de ferramentas adicionais.

Essa integração operacional também dificulta análises baseadas apenas em comportamento isolado, uma vez que diversas funcionalidades passam a coexistir dentro do mesmo processo.

Como ocorre a infecção inicial

O ponto de entrada identificado pelos pesquisadores é um executável denominado nvidia-sysruntime.exe. O arquivo se apresenta como se fosse relacionado ao kit de ferramentas de tempo de execução de contêineres da NVIDIA, explorando a confiança normalmente associada a softwares conhecidos.

Em vez de possuir todos os parâmetros embutidos em seu código, o executável recebe sua configuração durante a execução por meio de argumentos de linha de comando. Essa decisão arquitetural oferece maior flexibilidade para os operadores.

Entre os parâmetros configuráveis encontram-se o endereço do servidor remoto utilizado para comando e controle e o intervalo utilizado para comunicação periódica entre o implante e sua infraestrutura.

Os pesquisadores observaram ainda que essas informações também podem ser fornecidas em um único argumento codificado em Base64, simplificando a implantação do malware em diferentes campanhas.

Configuração dinâmica aumenta a reutilização do malware

Um dos aspectos mais relevantes identificados na análise da Blackpoint Cyber é que o mesmo binário compilado pode ser empregado em diferentes operações sem necessidade de recompilação.

Como a infraestrutura de comando e controle é definida apenas no momento da execução, operadores conseguem reutilizar exatamente o mesmo arquivo contra organizações distintas, alterando apenas os parâmetros fornecidos ao malware.

Segundo os pesquisadores, essa abordagem elimina a dependência de valores fixos incorporados ao código-fonte e permite adaptar rapidamente a infraestrutura utilizada em cada campanha.

Do ponto de vista defensivo, essa característica reduz a eficácia de estratégias que dependam exclusivamente da identificação de configurações estáticas presentes no executável.

Persistência através de armazenamento local

Após receber sua configuração, o LabubaRAT armazena essas informações em um banco de dados SQLite local.

Esse armazenamento funciona como base para reutilização das configurações durante a operação do implante, permitindo que o malware mantenha seu funcionamento sem depender exclusivamente dos argumentos utilizados durante sua inicialização.

Além da configuração operacional, esse processo prepara o ambiente para as etapas seguintes da infecção, permitindo que o malware concentre suas funcionalidades em um único componente.

Reconhecimento completo do ambiente comprometido

Antes de executar outras atividades, o LabubaRAT realiza uma etapa detalhada de reconhecimento do sistema comprometido.

Os pesquisadores observaram que o implante verifica a presença de diversos navegadores instalados, incluindo Google Chrome, Mozilla Firefox, Microsoft Edge e Brave. Essas informações ajudam o operador a compreender melhor o ambiente onde o malware foi executado.

Além disso, ocorre uma verificação da existência de diferentes soluções de segurança. Entre os produtos pesquisados estão Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec e Trend Micro.

O malware também coleta informações adicionais como nome do host, quantidade de memória RAM instalada, modelo do processador e o estado do Controle de Conta de Usuário (UAC) do Windows.

Segundo a Blackpoint Cyber, esse processo permite preparar o ambiente para as próximas ações, considerando que determinadas funcionalidades podem variar de acordo com as ferramentas de segurança encontradas durante a fase de reconhecimento.

Capacidades operacionais fornecidas ao atacante

Após concluir a fase de reconhecimento do ambiente, o LabubaRAT passa a atuar como uma plataforma completa de acesso remoto. A análise da Blackpoint Cyber demonstra que o implante reúne diversas funcionalidades normalmente encontradas em ferramentas utilizadas para administração remota maliciosa, permitindo que um único componente seja suficiente para conduzir diferentes etapas da operação.

Essa característica representa uma mudança importante do ponto de vista operacional. Em vez de depender da instalação de novos módulos ou de ferramentas complementares para ampliar suas capacidades, o malware já incorpora um conjunto abrangente de recursos que podem ser utilizados conforme a necessidade do operador.

Essa abordagem reduz a complexidade da operação para o atacante e também diminui a quantidade de artefatos adicionais que precisariam ser introduzidos no ambiente comprometido, tornando a atividade potencialmente mais discreta.

Múltiplos canais de comunicação aumentam a resiliência

Um dos aspectos mais relevantes identificados pelos pesquisadores é a implementação de diferentes métodos de comunicação entre o implante e sua infraestrutura de comando e controle (Command and Control – C2).

O LabubaRAT suporta comunicação utilizando HTTPS, WebView2 e também tunelamento por DNS. Essa diversidade de mecanismos permite que o operador continue interagindo com o equipamento comprometido mesmo que um dos canais seja detectado ou bloqueado durante uma resposta a incidentes.

Do ponto de vista estratégico, essa redundância reduz a dependência de um único protocolo de comunicação. Caso determinada política de segurança impeça um método específico, outro mecanismo poderá continuar disponível para manter o acesso remoto.

Segundo a Blackpoint Cyber, essa flexibilidade operacional aumenta significativamente a capacidade de permanência do malware dentro do ambiente comprometido.

Execução remota de comandos

Entre as funcionalidades disponíveis está a execução remota de comandos enviados pelo operador. Esse recurso permite controlar diretamente o sistema comprometido utilizando instruções recebidas pela infraestrutura de comando e controle.

A capacidade de executar comandos fornece grande flexibilidade operacional, pois permite adaptar as ações de acordo com cada ambiente analisado durante a fase inicial de reconhecimento.

Ao invés de possuir um conjunto rígido de atividades programadas, o implante pode responder dinamicamente às decisões tomadas pelo operador durante a campanha.

Execução de PowerShell e JavaScript

Além da execução convencional de comandos, o LabubaRAT também oferece suporte à execução de scripts PowerShell e JavaScript.

Essa funcionalidade amplia significativamente as possibilidades operacionais do atacante, permitindo utilizar linguagens amplamente presentes em ambientes Windows para automatizar tarefas ou executar ações específicas conforme o contexto identificado.

Os pesquisadores destacam essas capacidades como parte do conjunto de recursos incorporados diretamente ao implante, eliminando a necessidade de ferramentas adicionais para executar esse tipo de atividade.

Captura de telas do sistema comprometido

O malware também possui capacidade de realizar capturas de tela (screenshots) do equipamento comprometido.

Esse recurso permite ao operador obter uma visão direta da sessão do usuário, auxiliando na compreensão do contexto operacional do equipamento durante a invasão.

Ao incorporar essa funcionalidade ao próprio RAT, o operador consegue ampliar sua visibilidade sobre o ambiente sem depender de aplicações externas.

Transferência de arquivos

Outro recurso identificado é o suporte para upload e download de arquivos.

Segundo a análise da Blackpoint Cyber, essa funcionalidade permite movimentar arquivos para dentro e para fora do ambiente comprometido, oferecendo ao operador uma forma prática de transportar informações ou componentes necessários durante a operação.

A transferência bidirecional de arquivos integra o conjunto de capacidades que tornam o LabubaRAT um implante completo de acesso remoto.

Manipulação de arquivos compactados

O implante também oferece suporte à manipulação de arquivos compactados.

Embora os pesquisadores não detalhem todos os cenários possíveis de utilização desse recurso, sua presença demonstra que o malware foi desenvolvido para atender diferentes necessidades operacionais durante a interação com o sistema comprometido.

Essa funcionalidade complementa os mecanismos de movimentação de arquivos disponíveis no RAT.

Encaminhamento de tráfego utilizando proxy SOCKS5

Entre os recursos implementados encontra-se ainda o suporte ao protocolo SOCKS5 para encaminhamento de tráfego.

Segundo a Blackpoint Cyber, essa funcionalidade permite rotear conexões através do sistema comprometido, transformando o equipamento afetado em um ponto intermediário para comunicações conduzidas pelo operador.

A presença desse mecanismo amplia a flexibilidade operacional da infraestrutura controlada pelo atacante e reforça o objetivo do implante de fornecer acesso remoto persistente.

Uma ferramenta única para múltiplas atividades

Os pesquisadores destacam que o conjunto de funcionalidades disponíveis oferece controle suficiente para que o operador interaja continuamente com o host comprometido.

Entre essas capacidades estão a execução de comandos, movimentação de arquivos, captura de telas, encaminhamento de tráfego e manutenção do acesso remoto, tudo concentrado em um único implante.

Essa arquitetura reduz a necessidade de carregadores adicionais ou ferramentas especializadas de escopo limitado, simplificando a condução das operações após a infecção inicial.

Infraestrutura identificada como LabubaPanel

Durante a análise realizada pela Blackpoint Cyber, foi identificado que o malware faz referência ao nome LabubaPanel em sua infraestrutura de comando e controle.

Além da nomenclatura, os pesquisadores observaram a utilização de um favicon com temática Labubu associado ao painel utilizado pelos operadores.

Embora esse elemento de identificação não revele necessariamente a autoria da ameaça, ele representa uma importante pista para caracterizar a estrutura operacional empregada durante as campanhas analisadas.

Indícios de operação no modelo Malware as a Service

Os pesquisadores afirmam que existem indícios de que o LabubaRAT esteja sendo disponibilizado sob um modelo de Malware as a Service (MaaS).

Caso essa hipótese seja confirmada, diferentes operadores poderão utilizar a mesma plataforma em campanhas distintas, aproveitando justamente a arquitetura baseada em configuração dinâmica observada durante a análise técnica.

Essa possibilidade está alinhada com a reutilização do mesmo binário compilado em diferentes implantações, alterando apenas os parâmetros fornecidos no momento da execução.

Por que a arquitetura do LabubaRAT merece atenção das equipes de segurança

Na avaliação da Blackpoint Cyber, a principal descoberta não está associada apenas ao conjunto de funcionalidades implementadas pelo malware, mas à forma como elas foram integradas em uma estrutura única. O LabubaRAT reúne configuração em tempo de execução, armazenamento de estado local, criação de perfil do host, múltiplos caminhos de comunicação e atribuição de tarefas ao operador em uma única ferramenta de acesso remoto.

Essa arquitetura evidencia uma preocupação em desenvolver um implante reutilizável e adaptável a diferentes cenários operacionais. Ao separar a configuração da compilação do binário, o mesmo executável pode ser empregado em campanhas distintas sem necessidade de alterações no código, bastando modificar os parâmetros fornecidos durante sua execução.

Do ponto de vista da defesa, essa característica amplia o desafio de identificação. Estratégias baseadas exclusivamente em indicadores estáticos tendem a perder eficiência quando um mesmo binário pode operar com diferentes servidores de comando e controle, diferentes intervalos de comunicação e diferentes configurações definidas apenas em tempo de execução.

O resultado é uma plataforma que oferece flexibilidade operacional ao atacante sem aumentar significativamente a complexidade de implantação, tornando o implante adequado para múltiplas operações.

Perfil detalhado do ambiente como preparação para as etapas seguintes

Outro aspecto destacado pelos pesquisadores é que o reconhecimento realizado pelo LabubaRAT não possui apenas caráter informativo. As informações coletadas durante a fase inicial servem para preparar as próximas ações executadas pelo operador.

Ao identificar navegadores instalados, soluções de segurança presentes, quantidade de memória RAM, modelo do processador, nome do host e o estado do Controle de Conta de Usuário (UAC), o malware fornece uma visão consolidada do ambiente comprometido antes que novas instruções sejam executadas.

Segundo a Blackpoint Cyber, algumas funcionalidades do próprio RAT podem variar de acordo com as ferramentas de segurança detectadas no sistema. Isso demonstra que o reconhecimento do ambiente faz parte da lógica operacional do implante e não representa apenas uma coleta passiva de informações.

Essa capacidade de adaptação reforça a importância do monitoramento contínuo de comportamentos anômalos, especialmente durante as fases iniciais de uma possível infecção.

Persistência operacional sem depender de ferramentas complementares

Os pesquisadores observam que o LabubaRAT fornece ao operador recursos suficientes para manter o acesso remoto sem depender de um carregador separado ou de aplicações adicionais com escopo limitado.

Em um único componente estão disponíveis funcionalidades como execução de comandos, execução de PowerShell e JavaScript, captura de telas, movimentação de arquivos, manipulação de arquivos compactados e encaminhamento de tráfego utilizando proxy SOCKS5.

Essa consolidação reduz a necessidade de introduzir novos executáveis no ambiente comprometido ao longo da operação, permitindo que diferentes atividades sejam conduzidas utilizando o mesmo implante inicialmente instalado.

Para as equipes responsáveis pela resposta a incidentes, isso significa que a identificação e contenção de um único componente podem representar um fator decisivo para interromper a continuidade das ações conduzidas pelo operador.

O que a marca LabubaPanel revela sobre a ameaça

Durante a investigação, a Blackpoint Cyber identificou referências ao nome LabubaPanel associadas à infraestrutura de comando e controle utilizada pelo malware. Também foi observado um favicon com temática Labubu vinculado ao painel operacional.

Embora esse elemento de identificação forneça uma pista importante para caracterizar a infraestrutura utilizada nas campanhas analisadas, os pesquisadores ressaltam que a descoberta mais relevante está na estrutura semelhante a um framework implementada pelo malware.

Segundo a análise publicada, o LabubaRAT foi desenvolvido como um RAT baseado em Rust preparado para ser configurado, registrado e operado em múltiplas implantações, característica compatível com sua arquitetura flexível e reutilizável.

Considerações para organizações

As informações divulgadas pela Blackpoint Cyber demonstram que o LabubaRAT reúne diversos recursos normalmente encontrados em implantes modernos de acesso remoto. Sua capacidade de aceitar configuração em tempo de execução, armazenar parâmetros localmente, criar um perfil detalhado do host comprometido e utilizar diferentes canais de comunicação amplia sua flexibilidade operacional.

Outro ponto relevante é a possibilidade de reutilização do mesmo binário em diferentes campanhas. Como os parâmetros de comunicação podem ser definidos no momento da execução, o malware reduz sua dependência de configurações fixas incorporadas ao executável, tornando sua operação mais adaptável.

A combinação de HTTPS, WebView2 e tunelamento DNS também evidencia uma preocupação em manter a comunicação ativa mesmo diante de tentativas de bloqueio de um dos canais disponíveis.

Essas características reforçam a importância de abordagens de segurança capazes de identificar comportamentos suspeitos ao longo de todo o ciclo de execução do malware, complementando mecanismos tradicionais baseados apenas em assinaturas ou indicadores estáticos.

Conclusão

A análise publicada pela Blackpoint Cyber apresenta o LabubaRAT como um trojan de acesso remoto baseado em Rust desenvolvido para oferecer uma plataforma completa de operação após a infecção inicial. Seu conjunto de funcionalidades inclui reconhecimento do ambiente, execução remota de comandos, captura de telas, movimentação de arquivos, suporte a PowerShell e JavaScript, proxy SOCKS5 e múltiplos métodos de comunicação com a infraestrutura de comando e controle.

O uso de configuração dinâmica em tempo de execução representa um dos elementos mais relevantes observados pelos pesquisadores, permitindo reutilizar o mesmo binário em diferentes campanhas sem necessidade de recompilação. Somado ao armazenamento local das configurações e à criação de um perfil detalhado do host comprometido, esse modelo torna o implante altamente flexível para diferentes operações.

Embora a referência ao nome LabubaPanel forneça um elemento de identificação da infraestrutura analisada, a principal conclusão destacada pelos pesquisadores é a existência de uma arquitetura semelhante a um framework, preparada para ser configurada e utilizada em múltiplas implantações. Esse desenho evidencia uma evolução na forma como ferramentas de acesso remoto podem ser estruturadas para diferentes campanhas.

Com base exclusivamente nas informações divulgadas pela Blackpoint Cyber, o LabubaRAT representa um exemplo de malware que combina persistência, adaptação e múltiplos mecanismos de comunicação em uma única ferramenta, reforçando a necessidade de monitoramento contínuo dos ambientes Windows e de estratégias de defesa capazes de identificar comportamentos suspeitos durante todas as etapas da operação do implante.