El malware LabRat podría evadir la detección
Una cepa de malware descubierta recientemente, conocida como LabRat, está causando preocupación en el mundo de la ciberseguridad debido a su extraordinaria capacidad para permanecer oculta a las medidas de seguridad convencionales. Sysdig, un proveedor de seguridad, informó que su equipo de investigación de amenazas (TRT) se encontró con LabRat, que parece hacer todo lo posible para operar sin ser detectado. Según Sysdig, las tácticas de LabRat demuestran un mayor nivel de sofisticación en comparación con muchos otros ciberataques observados por su TRT.
A diferencia de algunos atacantes que no priorizan el sigilo, los creadores de LabRat han diseñado meticulosamente su operación para minimizar las posibilidades de detección. Este esfuerzo adicional ha dificultado que los defensores identifiquen y respondan a la amenaza de manera efectiva.
LabRat participa principalmente en campañas de cryptojacking y proxyjacking. En el cryptojacking, se utiliza de forma encubierta la computadora de la víctima para extraer criptomonedas para el atacante, mientras que en el proxyjacking, la máquina de la víctima está inscrita en una red de intercambio de ancho de banda de igual a igual, beneficiando al atacante. El vector de ataque para LabRat implica explotar una vulnerabilidad conocida en los servidores de GitLab (CVE-2021-2205), lo que permite al atacante lograr la ejecución remota de código e implementar la carga útil en el sistema vulnerable.
Lo que distingue a LabRat es el grado de ofuscación aplicado a su código. Además, el uso del servicio TryCloudFlare para enrutar el tráfico oscurece aún más la presencia de los atacantes en los sistemas infectados. El director de investigación de amenazas de Sysdig, Michael Clark, señaló que el cifrado pesado de LabRat y las técnicas anti-ingeniería inversa lo hacían indetectable para VirusTotal (VT), lo cual es bastante inusual.
Defensa contra malware LabRat
El grupo LabRat parece estar muy motivado para proteger su código del análisis de investigadores de sombrero blanco, como lo demuestran sus extensos esfuerzos de ofuscación. Su objetivo principal es mantener el acceso a los sistemas comprometidos durante el mayor tiempo posible para beneficiarse del proxyjacking y la criptominería. El tiempo es esencial, especialmente en el proxyjacking, donde la efectividad de una red no atribuible depende de la cantidad de nodos. Si la red se vuelve demasiado pequeña, puede bloquearse e inutilizarse.
Sysdig recomienda que la mejor defensa de los administradores contra este tipo de ataques sea la detección temprana. Tener herramientas de monitoreo actualizadas y capaces puede ayudar a identificar ataques en sus primeras etapas, evitando que se arraiguen y desplieguen herramientas de contradefensa. En un panorama cibernético donde los atacantes son cada vez más sofisticados, la detección temprana sigue siendo un componente fundamental de una ciberseguridad eficaz.