Microsoft emite una advertencia para las nuevas industrias dirigidas a RAT

Microsoft Security Intelligence publicó una serie de tweets, advirtiendo sobre la propagación de una nueva cepa de malware que apunta a las industrias aeroespacial y de viajes. El malware en cuestión se ha denominado RevengeRAT.

Un RAT o un troyano de acceso remoto es un tipo de malware que permite a los delincuentes obtener un control considerable sobre un sistema o red infectado. Los RAT generalmente incluyen un componente de puerta trasera que permite a los piratas informáticos enviar comandos y ejecutar código en el sistema de la víctima sin ser detectados durante el mayor tiempo posible.

El nuevo RevengeRAT, también llamado AsyncRAT, se difunde principalmente mediante correos electrónicos de spear-phishing. Spear-phishing es el método de enviar correo malicioso, enmascarando el correo electrónico para que parezca enviado desde una fuente confiable, generalmente alguien a quien el destinatario ya conoce y en quien confía.

A diferencia del phishing habitual, en el que los correos electrónicos se envían en campañas masivas de spam, el spear-phishing tiende a ser un enfoque más específico, que se centra en una empresa, organización o entidad específica.

Los correos electrónicos maliciosos que difunden RevengeRAT tienen un archivo adjunto que se hace pasar por un archivo PDF de Adobe, mientras que en realidad es un archivo de Visual Basic, cargado de scripts maliciosos. Una vez que se ejecuta el script, implementa la carga útil RAT. El archivo malicioso del archivo adjunto suele abusar de los servicios web legítimos y contiene un enlace al archivo de secuencia de comandos de Visual Basic.

La empresa de seguridad Morphisec, citada en los tweets de Microsoft, nombró al cargador utilizado en el despliegue de RevengeRAT "Snip3". Un dato curioso sobre el cargador es que omite por completo la implementación del componente troyano de acceso remoto si descubre que se está ejecutando dentro de un entorno de pruebas de Windows u otro entorno de máquina virtual que se puede utilizar como un entorno de pruebas de detección de malware.

RevengeRAT tiene la capacidad de filtrar credenciales de inicio de sesión, capturar capturas de pantalla y acceder a cámaras web y echar un vistazo al contenido del portapapeles.

Una vez que el RAT se ha implementado en el sistema de la víctima, se pone en contacto con su servidor de comando y control, utilizando un sitio de alojamiento dinámico, y luego abusó de PowerShell y métodos sin archivos para capturar e implementar tres cargas útiles adicionales de enlaces públicos en sitios como Pastebin.

Las palabras clave y el ángulo utilizado en los correos electrónicos de spear-phishing utilizados por los malos actores que ejecutan las campañas actuales de RevengeRAT están orientados hacia los trabajadores de los sectores aeroespacial y de viajes, según Microsoft.

Los tweets señalaron además que el Defensor de Microsoft puede detectar los componentes separados de este malware y reaccionar en cada etapa del ataque.

May 13, 2021

Deja una respuesta