Ucrânia alerta sobre backdoor CABINETRAT distribuído via arquivos ZIP no Signal

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país utilizando um backdoor chamado CABINETRAT.

A atividade, observada em setembro de 2025, foi atribuída a um grupo de ameaças identificado como UAC-0245. Os ataques envolvem arquivos XLL (add-ins do Microsoft Excel) distribuídos dentro de arquivos ZIP compartilhados no aplicativo de mensagens Signal, disfarçados como documentos sobre detenções na fronteira ucraniana.

Como funciona o ataque:

• O arquivo XLL cria executáveis no sistema comprometido
• Modifica o registro do Windows para garantir persistência
• Executa o Excel em modo oculto para carregar o add-in malicioso
• Extrai shellcode classificado como CABINETRAT de uma imagem PNG

Características do malware:

• Possui técnicas anti-VM e anti-análise
• Verifica processador, memória e ferramentas de virtualização
• Backdoor completo escrito em C com múltiplas funcionalidades
• Coleta informações do sistema, programas instalados e screenshots
• Realiza upload/download de arquivos e executa comandos
• Comunica-se com servidor remoto via conexão TCP

O alerta ocorre dias após outro ataque direcionado à Ucrânia que utilizava campanhas de phishing sem arquivos para distribuir Amatera Stealer e PureMiner.