El nuevo malware ComRAT utiliza Gmail para recibir comandos y filtrar datos

Los investigadores de ciberseguridad descubrieron hoy una nueva versión avanzada de la puerta trasera ComRAT, una de las primeras puertas traseras conocidas utilizadas por el grupo Turla APT, que aprovecha la interfaz web de Gmail para recibir comandos de forma encubierta y filtrar datos confidenciales.

«ComRAT v4 se vio por primera vez en 2017 y se sabe que todavía está en uso en enero de 2020», dijo la firma de ciberseguridad ESET en un informe compartido con The Hacker News. «Identificamos al menos tres objetivos: dos Ministerios de Relaciones Exteriores en Europa del Este y un parlamento nacional en la región del Cáucaso».

Turla, también conocida como Snake, ha estado activa durante más de una década con una larga historia de campañas de watering hole y spear-phishing contra embajadas y organizaciones militares al menos desde 2004.

La plataforma de espionaje del grupo comenzó como Agent.BTZ, en 2007, antes de evolucionar a ComRAT, además de obtener capacidades adicionales para lograr persistencia y robar datos de una red local.

Ahora se sabe que las versiones anteriores de Agent.BTZ fueron responsables de infectar las redes militares estadounidenses en el Medio Oriente en 2008. En los últimos años, se dice que Turla estuvo detrás del compromiso de las Fuerzas Armadas francesas en 2018 y el Ministerio de Relaciones Exteriores de Austria a principios este año.

Desde entonces, las versiones más nuevas de la puerta trasera ComRAT han abandonado Agent. El mecanismo de infección de la memoria USB de BTZ a favor de inyectarse en cada proceso de la máquina infectada y ejecutar su carga principal en «explorer.exe».

¿Qué hay de nuevo en Comrat v4?

El ComRAT v4 (o «Chinch» por los autores del malware), como se llama al nuevo sucesor, utiliza una base de código completamente nueva y es mucho más complejo que sus variantes anteriores, según ESET. La firma dijo que la primera muestra conocida del malware se detectó en abril de 2017.

ComRAT generalmente se instala a través de PowerStallion, una puerta trasera liviana de PowerShell utilizada por Turla para instalar otras puertas traseras. Además, el cargador de PowerShell inyecta un módulo llamado orquestador ComRAT en el navegador web, que emplea dos canales diferentes, uno heredado y otro de correo electrónico, para recibir comandos de un servidor C2 y filtrar información a los operadores.

«El uso principal de ComRAT es descubrir, robar y exfiltrar documentos confidenciales», dijeron los investigadores. «En un caso, sus operadores incluso implementaron un ejecutable .NET para interactuar con la base de datos central de MS SQL Server de la víctima que contenía los documentos de la organización».

Además, todos los archivos relacionados con ComRAT, a excepción de la DLL orquestadora y la tarea programada para la persistencia, se almacenan en un sistema de archivos virtual (VFS).

El modo «correo» funciona leyendo la dirección de correo electrónico y las cookies de autenticación ubicadas en el VFS, conectándose a la vista HTML básica de Gmail y analizando la página HTML de la bandeja de entrada (usando el analizador Gumbo HTML) para obtener la lista de correos electrónicos con líneas de asunto. que coincidan con los de un archivo «subject.str» en el VFS.

Para cada correo electrónico que cumple con los criterios anteriores, comRAT descarga los archivos adjuntos (por ejemplo, «document.docx», «documents.xlsx») y elimina los correos electrónicos para evitar procesarlos por segunda vez.

A pesar del formato «.docx» y «.xlsx» en los nombres de archivo, los archivos adjuntos no son documentos en sí mismos, sino bloques de datos cifrados que incluyen un comando específico para ejecutar: leer/escribir archivos, ejecutar procesos adicionales y recopilar registros. .

En la etapa final, los resultados de la ejecución del comando se cifran y almacenan en un archivo adjunto (con la extensión doble «.jpg.bfe»), que luego se envía como un correo electrónico a una dirección de destino especificada en «answer_addr.str». archivo VFS.

El modo «heredado», por otro lado, hace uso de la infraestructura C2 ya existente (ComRAT v3.x) para emitir comandos remotos, cuyos resultados se comprimen y transmiten a un servicio en la nube como Microsoft OneDrive o 4Shared.

Los datos extraídos comprenden detalles del usuario y archivos de registro relacionados con la seguridad para comprobar si se detectaron sus muestras de malware durante un análisis de los sistemas infectados.

Con base en los patrones de distribución de correo electrónico de Gmail durante un período de un mes, ESET dijo que los operadores detrás de la campaña están trabajando en las zonas horarias UTC + 3 o UTC + 4.

«La versión cuatro de ComRAT es una familia de malware totalmente renovada lanzada en 2017», dijo Matthieu Faou, investigador de ESET. «Sus características más interesantes son el sistema de archivos virtual en formato FAT16 y la capacidad de usar la interfaz de usuario web de Gmail para recibir comandos y filtrar datos. Por lo tanto, puede eludir algunos controles de seguridad porque no depende de ningún dominio malicioso. «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática