- PyStoreRAT é um RAT modular distribuído por meio de repositórios falsos do GitHub que se disfarçam de ferramentas OSINT, bots DeFi e utilitários GPT.
- A cadeia de infecção utiliza carregadores mínimos em Python ou JavaScript para baixar HTAs remotos e executá-los com mshta.exe, implantando um sistema com vários módulos.
- El malwares Ele estabelece persistência com tarefas agendadas e se comunica com servidores C2 para executá-las. comandos avançado e geralmente utiliza o ladrão de informações Rhadamanthys.
- Seu design reflete uma tendência em direção a implantes altamente evasivos baseados em scripts, semelhantes a outras ameaças como o SetcodeRat, que exploram a confiança em softwares e serviços legítimos.
El Malware PyStoreRAT Tornou-se uma das ameaças mais curiosas e preocupantes dos últimos tempos para pesquisadores, desenvolvedores e entusiastas. criptomoedasEssa família de malware combina técnicas de engenharia social, abuso do GitHub e módulos avançados de acesso remoto que lhe permitem assumir o controle do sistema, roubar informações e implantar silenciosamente outros códigos maliciosos.
Longe de ser “apenas mais um RATO”, O PyStoreRAT se destaca por sua abordagem modular, sua cadeia de infecção em múltiplos estágios e seu uso inteligente de repositórios falsos. publicados no GitHub que simulam ferramentas OSINT, bots DeFi ou utilitários relacionados ao GPT e cibersegurançaTudo isso é acompanhado por campanhas e técnicas nas redes sociais para inflar os índices de popularidade, de modo que as vítimas acreditem estar baixando algo legítimo, útil e popular.
O que é PyStoreRAT e por que é tão perigoso?
PyStoreRAT é um cavalo de Troia de Acesso Remoto (RAT) baseado principalmente em JavaScript. que funciona como um implante modular de múltiplos estágios. Embora a isca inicial seja geralmente escrita em Python ou JavaScript, o núcleo do RAT depende de Aplicativos HTML (HTAs) e scripts que são executados através de mshta.exeum uso legítimo de Windows Utilizado para processar aplicações HTML.
Este implante oferece aos atacantes um conjunto de capacidades muito flexível: ele pode executar módulos em diferentes formatos (EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA)Isso facilita a adaptação da campanha a diferentes ambientes e permite contornar controles básicos de segurança. Além disso, integra reconhecimento de sistemas, roubo de informações e recursos adicionais de implantação de malware.
Um elemento fundamental é que PyStoreRAT é frequentemente acompanhado pelo ladrão de informações Rhadamanthys.Rhadamanthys é um malware especializado em roubar credenciais, dados de navegador e, em particular, informações relacionadas a criptomoedas. O RAT atua como um ponto de entrada versátil, enquanto o Rhadamanthys lida com a exfiltração massiva de dados.
Outro aspecto que o torna especialmente preocupante é o seu foco em perfis de alto valor, como analistas de segurança, administradores de sistemas e usuários avançados.Esses usuários, ao baixar ferramentas do GitHub, muitas vezes pensam que têm tudo sob controle e que "tudo foi verificado", mas o design minimalista dos carregadores e o uso de repositórios aparentemente confiáveis tornam a detecção precoce muito mais difícil.
Em termos de evolução de ameaças, o PyStoreRAT representa Um passo adiante rumo a implantes altamente discretos baseados em scripts, projetados para coexistir com os modernos controles de EDR.retardando ao máximo a sua detecção graças a técnicas de evasão e execução na memória.
Campanha do GitHub: repositórios falsos e abuso de confiança
Pesquisadores documentaram um Campanha contínua para distribuir o PyStoreRAT por meio de repositórios maliciosos hospedados no GitHub.Esses repositórios são apresentados como projetos úteis para a comunidade técnica, o que aumenta consideravelmente as chances de baixá-los e executá-los.
Os tópicos comuns nesses repositórios incluem ferramentas OSINT. Isso inclui ferramentas públicas de coleta de informações, supostos bots DeFi para automatizar estratégias de negociação, wrappers ou clientes não oficiais relacionados ao GPT e utilitários de segurança que prometem auditorias ou melhorias de defesa. Em muitos casos, a documentação e o arquivo README parecem perfeitamente razoáveis, até mesmo profissionais.
Para maximizar seu alcance, os atacantes promovem esses projetos em redes sociais como o YouTube e o X (antigo Twitter)onde são publicados vídeos, tópicos e mensagens com links diretos para o repositório. Além disso, eles manipulam métricas como estrelas e forks, usando contas falsas ou automatizadas, no estilo do Rede Fantasma Stargazerspara que o projeto apareça nas listas de "repositórios em alta" do GitHub.
Um detalhe particularmente traiçoeiro é que Os agentes criam novas contas ou reativam contas antigas que estavam inativas há meses.para dar a impressão de que o desenvolvimento "voltou à vida". Assim que a ferramenta ganha popularidade e se torna conhecida, eles adicionam o código malicioso em supostos "commits de manutenção" publicados semanas ou meses depois, quando um certo nível de confiança no projeto já foi estabelecido.
Em muitos casos, os projetos nem sequer funcionam como prometido: Algumas ferramentas exibem apenas menus ou interfaces estáticas, sem nenhuma funcionalidade real.Enquanto alguns realizam ações mínimas e superficiais, outros têm como objetivo não oferecer valor, mas sim parecer legítimos. o tempo o suficiente para que o usuário execute o carregador malicioso "como parte natural" do uso da ferramenta.
Cadeia de infecção: do portador mínimo ao controle total
O cerne da campanha reside em um uma cadeia de infecção de múltiplos estágios muito bem planejadaTudo começa com um pequeno trecho de código Python ou JavaScript dentro do repositório do GitHub. Essa primeira parte é o que conecta todo o resto.
Normalmente, o arquivo que o usuário executa contém apenas algumas linhas de códigoEles parecem inofensivos ou discretos. Sua função real é conectar-se a um servidor remoto controlado pelo atacante, baixar um arquivo HTA e executá-lo. mshta.exeEssa técnica utiliza uma ferramenta legítima do Windows, reduzindo a suspeita por parte de alguns sistemas de segurança menos avançados.
O carregador também inclui uma lógica de reconhecimento muito básica, porém eficaz: Compila a lista de produtos antivírus instalados. Ele examina o sistema e procura por sequências de caracteres relacionadas a "Falcon" (associado ao CrowdStrike Falcon) ou "Reason" (ligado a soluções como Cybereason ou ReasonLabs). Se detectar algum desses nomes, ajusta a forma como o mshta.exe é executado para tentar reduzir sua visibilidade.
Especificamente, quando identifica esses produtos, o malware Inicie o mshta.exe através de cmd.exeIsso adiciona uma camada intermediária que pode modificar certos padrões de comportamento monitorados por soluções de segurança. Se não encontrar nada suspeito, simplesmente executa o mshta.exe diretamente, reduzindo etapas e acelerando o processo de infecção.
Após o carregamento do HTA remoto, inicia-se a próxima fase: a entrega e implantação do PyStoreRAT Em termos mais precisos, é aqui que começa o jogo de módulos, persistência e comunicação com o servidor de comando e controle (C2), que é onde os atacantes assumem o controle do sistema infectado.
Funcionalidades internas do PyStoreRAT e módulos suportados
A partir do momento em que o HTA baixa e executa o implante, PyStoreRAT funciona como uma plataforma flexível de execução de payloads.Sua arquitetura modular permite que os atacantes carreguem diferentes tipos de componentes, dependendo das necessidades de cada campanha ou de cada vítima específica.
Entre as capacidades mais notáveis está a possibilidade de Executar binários EXE, carregar DLLs, iniciar scripts do PowerShell, instalar pacotes MSI e até mesmo implantar outros scripts em Python, JavaScript ou novos HTAs diretamente do próprio RAT. Essa versatilidade permite que o malware se adapte rapidamente a diferentes cenários e burle as defesas baseadas em assinaturas estáticas.
Além disso, o RAT realiza um fase de perfilamento do sistema Isso identifica informações como o sistema operacional, permissões do usuário, configuração do ambiente e outros dados que podem ajudar a determinar qual tipo de carga útil é mais útil em cada caso. Também verifica privilégios de administrador, o que abre caminho para ações mais intrusivas.
Uma função particularmente sensível é a sua capacidade de Analisar o sistema em busca de arquivos relacionados a carteiras de criptomoedas.O PyStoreRAT realiza buscas por caminhos e arquivos associados a aplicativos como Ledger Live, Trezor, Exodus, Atomic Wallet, Guarda Wallet e BitBox02, sem explorar vulnerabilidades nesses programas, mas aproveitando-se das informações armazenadas localmente para se preparar para roubos subsequentes.
Ao mesmo tempo, o RAT facilita o Execução do infostealer de Rhadamanthys como carga secundáriaUma vez baixado, ele coleta senhas, cookies, dados do navegador e outras informações valiosas que podem ser enviadas para o servidor C2 ou revendidas em mercados negros.
Persistência, movimentos subsequentes e comandos C2
Para garantir que a infecção não desapareça após uma simples reinicialização, PyStoreRAT estabelece um mecanismo de persistência baseado em tarefas agendadas.Especificamente, ele cria uma tarefa no Agendador de Tarefas do Windows com um nome que imita um processo legítimo de atualização de software.
Em muitos casos, essa tarefa aparece disfarçada de suposto atualizador automático de aplicativos NVIDIAaproveitando-se do fato de que muitos usuários têm Drivers ou ferramentas gráficas instaladas, e esses tipos de entradas passam facilmente despercebidos no sistema. Dessa forma, o malware pode se reiniciar periodicamente ou após reinicializações do computador.
Curiosamente, quando o operador acredita ter extraído o que precisava ou deseja reduzir os vestígios, O próprio malware pode excluir a tarefa agendada. Apagar vestígios e dificultar análises forenses subsequentes. Esse apagamento também pode ocorrer como parte de comandos específicos enviados pelo servidor de comando e controle.
Na fase de controle remoto, PyStoreRAT se comunica com um servidor C2 externo. de onde recebe instruções. Embora nem todos os domínios e IPs utilizados tenham sido divulgados, sabe-se que o RAT suporta uma lista variada de comandos, destinados tanto à execução de novas cargas úteis quanto à propagação e limpeza de rastros.
Entre os comandos mais importantes que você pode executar estão as funções para Baixe e execute os arquivos binários EXE (incluindo o Rhadamanthys).Baixe e extraia arquivos ZIP, obtenha DLLs maliciosas e execute-as através de rundll32.exee receber código JavaScript bruto que é executado diretamente na memória usando eval ()uma técnica que dificulta a detecção baseada em arquivos.
O RAT também pode Instale pacotes MSI e inicie processos mshta.exe secundários para carregar mais HTAs remotos.e executar comandos do PowerShell diretamente na memória, evitando deixar scripts visíveis no disco. Além disso, integra funções para disseminar a infecção por meio de um mecanismo de propagação usando unidades removíveis, substituindo documentos legítimos por atalhos LNK maliciosos que apontam para malware.
Produtos afetados e foco em criptomoedas
É importante deixar claro que PyStoreRAT não explora nenhuma vulnerabilidade específica em softwares populares.Em vez disso, baseia todo o seu sucesso no abuso da confiança em projetos de código aberto e nos maus hábitos de baixar e executar código de repositórios mal verificados.
Os principais alvos são usuários que baixam supostos arquivos. Ferramentas OSINT, bots de negociação DeFi, utilitários para interagir com GPT ou scripts de segurança. Hospedado no GitHub e publicado ou atualizado em um período aproximado de junho a dezembro de 2025. Qualquer repositório desse tipo, sem autoria verificável, merece ser analisado minuciosamente.
Em paralelo, o malware tem um interesse especial em carteiras de criptomoedas instaladas no sistemaEmbora não explore vulnerabilidades nesses programas, examina diretórios, arquivos de dados e configurações que podem expor informações úteis sobre saldos, endereços ou senhas.
Entre os aplicativos que ele costuma procurar estão Ledger Live, carteiras Trezor, Exodus, Atomic Wallet, Guarda Wallet e o dispositivo BitBox02O simples fato de o malware rastrear esses vestígios já indica um claro interesse na monetização por meio do roubo de criptoativos ou da venda de dados de carteiras digitais.
Deve-se ressaltar que O vetor de infecção continua sendo a execução de código baixado do GitHub.Isso não é uma falha de segurança inerente às próprias carteiras. Mesmo assim, usuários de criptomoedas que combinam essas carteiras com ferramentas baixadas indiscriminadamente de repositórios desconhecidos tornam-se, de fato, um alvo muito atraente para operadores do PyStoreRAT.
Indicadores de comprometimento e comportamentos suspeitos
Para detectar possíveis infecções associadas a essa família, é útil observar... sinais de comportamento atípico tanto no código baixado do GitHub quanto no próprio sistema Windows (Sintomas de diferentes tipos de malwareEmbora nem todos os indicadores garantam que seja o PyStoreRAT, uma combinação deles deve levantar suspeitas.
Em termos de desenvolvimento, é preciso ter cautela com Scripts Python ou JavaScript muito curtos cuja única finalidade é baixar e executar arquivos HTA por meio do mshta.exe.Esse padrão já é questionável e deve ser analisado minuciosamente, especialmente se vier de um repositório recém-criado ou com histórico suspeito.
No nível do sistema operacional, um indicador típico é o presença de processos mshta.exe iniciados por scripts ou interpretadores Fora de contextos normais, a invocação do mshta.exe por Python, Node.js ou por meio de um console de comando associado a uma "ferramenta OSINT" deve levantar suspeitas em um ambiente corporativo ou mesmo doméstico.
Também é aconselhável monitorar a existência de Tarefas agendadas com nomes que imitam atualizadores da NVIDIA ou de outros fabricantes conhecidos.Se essas tarefas foram criadas por volta da época da instalação de uma ferramenta pouco conhecida do GitHub, o risco de estarem relacionadas ao PyStoreRAT ou a outros malwares semelhantes é alto.
Por fim, é preciso prestar atenção a Atalhos LNK incomuns em unidades USB ou unidades externasespecialmente quando substituem documentos do Office ou PDFs que antes abriam normalmente. Esse comportamento está de acordo com a tática de propagação de mídia removível implementada neste RAT.
Vítimas potenciais, táticas observadas e atribuição.
A campanha por trás do PyStoreRAT parece estar em andamento. um conhecimento bastante profundo de como funciona a comunidade de cibersegurança e desenvolvimento.Eles não estão procurando apenas usuários inexperientes, mas sim perfis que trabalhem regularmente com ferramentas de análise, automação e OSINT.
Entre as potenciais vítimas estão Pesquisadores de segurança, administradores de TI, analistas de ameaças e até mesmo usuários avançados de criptomoedas. Eles costumam testar novas ferramentas do GitHub para otimizar seus fluxos de trabalho. Justamente por dependerem de repositórios "populares", acabam se expondo a payloads maliciosos cuidadosamente disfarçados.
Os atacantes se valem de diversas táticas de visibilidade, como uso de listas de repositórios de tendências e campanhas de mídia social para direcionar o tráfego para os projetos infectados. O uso de contas do GitHub recém-criadas ou inativas, combinado com commits subsequentes que introduzem o malware como uma "atualização menor", demonstra uma abordagem clara para atacar a cadeia de suprimentos de software.
Em relação à atribuição, as investigações apontam para... Presença de artefatos e padrões de codificação em russoIsso sugere que o grupo responsável tenha se originado na Europa Oriental. No entanto, atualmente não há nenhuma ligação direta com um grupo APT ou criminoso claramente identificado em fontes abertas.
A natureza modular, o interesse no roubo de criptomoedas e o uso de técnicas modernas de evasão apontam para... atores com experiência e recursos, que vão além de meros amadoresNo entanto, a campanha ainda está sendo analisada e novas evidências podem surgir com o tempo.
Relação com outras ameaças: o caso do SetcodeRat
Embora o PyStoreRAT seja o protagonista desta análise, diversos estudos apontaram o surgimento de outras famílias de RAT com estratégias igualmente refinadasIsso confirma uma tendência preocupante em direção a implantes remotos altamente personalizados para determinados ambientes ou regiões.
Um exemplo paralelo é o SetcodeRat, descoberto por um fornecedor de segurança chinês, que Está sendo disseminado por meio de campanhas de publicidade maliciosa. dentro do país. Nesse caso, os atacantes visam usuários de língua chinesa e utilizam instaladores falsos de softwares conhecidos, como navegadores da web, para realizar a infecção.
O instalador malicioso do SetcodeRat executa um verificação prévia da região e do idioma do sistemaSe a equipe não estiver configurada para chinês simplificado ou variantes locais como Zh-CN (China Continental), Zh-HK (Hong Kong), Zh-MO (Macau) ou Zh-TW (Taiwan), o programa simplesmente é encerrado, reduzindo a exposição desnecessária fora do público-alvo.
Outro requisito curioso é que o malware Verifique a conectividade usando um URL do Bilibili (um serviço de vídeo chinês popular). Se não for possível contatar o caminho associado a api.bilibilicom/x/report/click/now, a execução é abortada, provavelmente como um mecanismo adicional para limitar a análise em ambientes de laboratório.
Na próxima fase, o instalador executa um binário chamado pnm2png.exe para carregar zlib1.dll manualmenteEssa DLL, manipulada pelos atacantes, descriptografa o conteúdo de um arquivo chamado qt.conf e, em seguida, carrega uma nova DLL com o payload RAT embutido. Dessa forma, o malware se insere na cadeia de carregamento de bibliotecas de um aplicativo aparentemente legítimo.
Uma vez totalmente operacional, o SetcodeRat oferece os recursos usuais de um RAT moderno: Captura de tela, registro de teclas digitadas (keylogging), leitura e modificação de pastas, execução de processos, inicialização do cmd.exe, gerenciamento de conexão de rede e atualizações automáticas.Para se comunicar com sua infraestrutura, você pode usar ambos. Servidores C2 convencionais como canais via Telegram, o que lhe confere flexibilidade e resiliência.
Estratégias de mitigação recomendadas
A melhor defesa contra o PyStoreRAT e ameaças semelhantes é... Mude seus hábitos ao baixar e executar código de repositórios públicos.Isso é especialmente crítico em ambientes corporativos, onde um único descuido pode levar a uma grave violação de segurança.
Em primeiro lugar, é recomendado Verificar a legitimidade dos repositórios do GitHubVerifique se pertencem a organizações conhecidas, compare o URL com o site oficial do projeto e revise o histórico de commits em busca de adições suspeitas de última hora. Também é útil considerar a coerência entre a popularidade do projeto e a qualidade real do código.
Antes de executar qualquer ferramenta baixada, é aconselhável realizar... uma revisão manual do código, especialmente dos scripts que atuam como "iniciadores"Qualquer referência a mshta.exe, Download HTAs remotos ou invocações incomuns do PowerShell devem ser analisados cuidadosamente, idealmente em um ambiente sandbox ou usando um Análise offline do Microsoft Defender antes de se juntar a uma equipe de produção.
Em nível de rede, é útil. monitorar conexões de saída em direção a novos domínios ou IPs incomuns, bem como registro e alerta sobre comportamentos do tipo C2. Embora nem todos os indicadores específicos sejam publicados, a detecção baseada no comportamento do tráfego pode fornecer pistas muito valiosas.
No ponto final, as organizações devem Configure alertas para a criação de tarefas agendadas suspeitas.especialmente aqueles apresentados como atualizadores para fabricantes conhecidos, mas cujos binários apontam para caminhos incomuns. Também é crucial monitorar o uso do mshta.exe e a execução do PowerShell ou do rundll32.exe com parâmetros incomuns.
Por fim, no que diz respeito a dispositivos externos, recomenda-se Restringir ou bloquear a execução de arquivos LNK a partir de unidades removíveis. Em ambientes de alto risco, ou pelo menos submeta esses atalhos a políticas de verificação aprimoradas. Isso reduz a probabilidade de a ameaça se espalhar para novos computadores por meio de unidades USB ou outros meios semelhantes.
PyStoreRAT e SetcodeRat ilustram isso muito bem. Até que ponto os atacantes estão aperfeiçoando RATs modulares, abusando de plataformas legítimas como o GitHub e utilizando técnicas de evasão? focadas em regiões ou perfis específicos. Somente combinando análise minuciosa do código, boas práticas de download, monitoramento de rede e controles de endpoints é que o impacto desses tipos de campanhas, que exploram cada vez mais nossa confiança em softwares "populares" e ecossistemas abertos, pode ser realmente reduzido.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.