Um novo trojan de acesso remoto (RAT), chamado DuplexSpy, surgiu recentemente e representa uma ameaça significativa para sistemas baseados em Windows ao redor do mundo.

Desenvolvido em C# pelo usuário do GitHub ISSAC/iss4cf0ng e lançado publicamente no dia 15 de abril de 2025 com o suposto objetivo “educacional”, o malware oferece aos atacantes um nível inédito de controle sobre máquinas comprometidas.

Ameaça Sofisticada com Capacidades Modulares

Com uma interface gráfica amigável e diversas opções de personalização, o DuplexSpy facilita o trabalho até mesmo de atacantes inexperientes, permitindo a criação de ataques altamente direcionados.

Seu design avançado inclui mecanismos de persistência, execução furtiva e um amplo conjunto de ferramentas de espionagem, tornando-se uma arma poderosa nas mãos de agentes mal-intencionados.

O fato de ser de código aberto aumenta ainda mais o risco de uso indiscriminado em diversas cadeias de ataque, já que seus recursos podem ser facilmente adaptados e ampliados.

O DuplexSpy utiliza técnicas sofisticadas para se manter ativo e evitar detecção, disfarçando-se como processos legítimos do sistema, como o “Windows Update”. Ele se copia para a pasta de inicialização e modifica o Registro do Windows na chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Segundo relatório da Cyfirma, o RAT adota execução sem arquivos (fileless), carregando o código diretamente na memória e autodestruindo-se após a execução para dificultar a atuação de antivírus tradicionais.

Disrupção e Espionagem no Centro do Ataque

Entre suas funcionalidades estão:

• Keylogger: captura de teclas digitadas, armazenadas em um arquivo oculto (keylogger.rtf) na pasta Temp.
• Monitoramento em tempo real: acesso à tela, webcam e microfone da vítima.
• Shell remoto: execução de comandos diretamente na máquina comprometida.
• Táticas de anti-análise: encerramento de processos de segurança e exibição de mensagens de erro falsas (ex: "user32.dll corrompido") para confundir usuários.
• Escalonamento de privilégios: por meio de prompts UAC e injeção de DLLs.
• Comunicação criptografada: utiliza AES e RSA para se comunicar de forma segura com servidores de comando e controle (C2).

O malware também é capaz de:

• Controlar funções do sistema (desligar, suspender, travar a tela).
• Manipular o cursor do mouse.
• Tocar sons para fins de intimidação psicológica.
• Executar telas falsas de bloqueio para extorsão.
• Fazer reconhecimento da rede e mapear conexões TCP ativas.
• Manipular o registro e suspender ou encerrar processos.

Análises dinâmicas mostram que o DuplexSpy estabelece conexões TCP (frequentemente na porta 5000) para manter comunicação constante com o servidor C2, oferecendo até mesmo interface de chat em tempo real para o invasor.

Apesar do “disclaimer educacional”, o roadmap de desenvolvimento do projeto — que inclui suporte a plugins remotos e melhorias de estabilidade — revela um cenário de ameaça em expansão.

Recomendações

Equipes de segurança devem adotar uma postura baseada em inteligência de ameaças, com uso de ferramentas EDR/XDR com varredura de memória, monitoramento contínuo do Registro e análise de tráfego de rede.

É fundamental:

• Bloquear IOCs conhecidos;
• Promover a conscientização de usuários sobre comportamentos suspeitos (como alertas falsos ou prompts inesperados de UAC);
• Reforçar políticas de segurança para conter esse tipo de ameaça.

O DuplexSpy é mais um exemplo do avanço das ferramentas de cibercrime e do quanto é crucial estar preparado para identificar e reagir rapidamente a ameaças cada vez mais sofisticadas.

Fonte

Fique Por Dentro das Principais Ameaças Cibernéticas

Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.

Proteja seu futuro digital com conhecimento!