Categories: AMEAÇAS ATUAIS

Novo implante RoadK1ll usa WebSocket para pivotar em redes comprometidas

Pesquisadores identificaram o RoadK1ll, um implante em Node.js que cria um túnel reverso via WebSocket para transformar um host comprometido em ponto de pivot dentro da rede. O truque: tudo sai por conexão de saída, evitando listener inbound e reduzindo alertas.

O que é

  • Implante em Node.js voltado para movimentação lateral.
  • Usa WebSocket como canal de controle e túnel reverso persistente.

Como funciona

  • O host comprometido inicia a conexão de saída com a infraestrutura do atacante.
  • O túnel aceita múltiplas conexões simultâneas, permitindo acesso a serviços internos.

Por que isso importa

  • Facilita acesso a segmentos internos “invisíveis” para a internet.
  • Reduz alertas baseados em portas abertas, já que o tráfego é iniciado de dentro.
  • WebSocket costuma passar por proxies e inspeções menos rigorosas.

Mitigação imediata

  • Endurecer egress (allowlist de destinos/portas).
  • Monitorar processos Node.js não autorizados em endpoints.
  • Segmentar redes e limitar acesso lateral de hosts de usuário.

O que monitorar

  • Tráfego WebSocket anômalo para domínios recém-criados.
  • Conexões persistentes de estações para IPs incomuns.
  • Correlação entre logins e criação de túneis.

Fonte: https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/

TheNinja

Recent Posts

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

10 horas ago

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…

10 horas ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

10 horas ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

1 dia ago

Pesquisadores expõem seis falhas no AirDrop e Quick Share que afetam mais de 5 bilhões de dispositivos Apple, Google e Samsung

Estudo do CISPA revela três crashes no AirDrop e três bypasses lógicos no Quick Share…

1 dia ago

Hackers exploram falha máxima no SimpleHelp (CVE-2026-48558) para implantar TaskWeaver e Djinn Stealer em ambientes RMM

Atacantes desconhecidos abusam de falha crítica (CVSS 10.0) no fluxo OIDC do SimpleHelp para criar…

1 dia ago