La RAT de MisterySnail se dirige a empresas de TI y contratistas de defensa
MysterySnail RAT es un nuevo malware dirigido a los sistemas Windows. Ha estado activo desde agosto de 2021 y sus operadores están explotando vulnerabilidades de día cero en las versiones de Microsoft Windows. La vulnerabilidad más reciente es CVE-2021-40449, pero los delincuentes también dependen de exploits más antiguos contra los que algunos sistemas podrían no estar protegidos, como CVE-2016-3309.
Después del descubrimiento de MysterySnail RAT, los investigadores pudieron identificar la misma carga útil en ataques más antiguos que tenían como objetivo empresas de TI, entidades diplomáticas y contratistas involucrados en los sectores militar y de defensa. Al parecer, el uso reciente de MysterySnail RAT podría atribuirse al actor de Advanced Persistent Threat (APT) con sede en China conocido como Iron Husky .
MisterySnail RAT utiliza código generado aleatoriamente para la ofuscación
A menudo, los desarrolladores de malware tienen como objetivo hacer que sus cargas útiles sean lo más ligeras posible. Esto reduce la atención que atraen y también podría permitirles volar por debajo del radar de herramientas de seguridad específicas. El MysterySnail RAT es bastante grueso en términos de tamaño: su ejecutable tiene más de 8 MB. Sin embargo, los atacantes están utilizando el espacio de almacenamiento adicional para almacenar un código generado aleatoriamente, cuyo objetivo es ofuscar la verdadera naturaleza amenazante de los archivos ejecutables. Esta podría ser la razón por la que MysterySnail RAT se identificó y diseccionó correctamente en este momento.
Cuando MysterySnail RAT infecta una máquina, recopilará y enviará información al servidor del atacante. Estos datos incluyen el nombre de la computadora y el nombre de usuario, la versión exacta de Windows que usa el sistema y su dirección IP local. Los delincuentes pueden enviar comandos remotos para operar el implante y decirle que realice las tareas que admite:
- Procesos de inicio y cierre.
- Obtenga información de archivos, particiones, carpetas y datos del disco duro.
- Cargue y ejecute archivos.
- Modifique el sistema de archivos.
- Ponga el implante en reposo durante un tiempo determinado.
- Abra una conexión de proxy.
El descubrimiento de MysterySnail RAT y su infraestructura ha ayudado a los investigadores de malware a aprender más sobre las operaciones actuales de Iron Husky.