The MisterySnail RAT visa empresas de TI e empreiteiros de defesa
O MysterySnail RAT é uma nova peça de malware direcionada aos sistemas Windows. Ele está ativo desde agosto de 2021 e seus operadores estão explorando vulnerabilidades de dia zero nas versões do Microsoft Windows. A vulnerabilidade mais recente é CVE-2021-40449, mas os criminosos também contam com exploits mais antigos, contra os quais alguns sistemas podem não estar protegidos - como o CVE-2016-3309.
Após a descoberta do MysterySnail RAT, os pesquisadores foram capazes de identificar a mesma carga em ataques mais antigos que visavam empresas de TI, entidades diplomáticas e empreiteiros envolvidos nos setores militar e de defesa. Supostamente, o uso recente do MysterySnail RAT pode ser atribuído ao ator de Advanced Persistent Threat (APT) com base na China conhecido como Iron Husky .
O RAT MisterySnail usa código gerado aleatoriamente para ofuscação
Freqüentemente, os desenvolvedores de malware buscam tornar suas cargas o mais leves possíveis. Isso reduz a atenção que atraem e também pode permitir que voem sob o radar de ferramentas de segurança específicas. O MysterySnail RAT é bastante robusto em termos de tamanho - seu executável tem mais de 8 MB. No entanto, os invasores estão usando o espaço de armazenamento extra para armazenar um código gerado aleatoriamente, que visa ofuscar a verdadeira natureza ameaçadora dos arquivos executáveis. Esta pode ser a razão pela qual MysterySnail RAT foi identificado e dissecado corretamente agora.
Quando o MysterySnail RAT infecta uma máquina, ele coleta e envia informações ao servidor do invasor. Esses dados incluem o nome do computador e o nome do usuário, a versão exata do Windows que o sistema usa e seu endereço IP local. Os criminosos são capazes de enviar comandos remotos para operar o implante e dizer-lhe para realizar as tarefas que suporta:
- Processos de início e encerramento.
- Obtenha dados do disco rígido, partições, pastas e informações de arquivos.
- Carregue e execute arquivos.
- Modifique o sistema de arquivos.
- Coloque o implante para dormir por um tempo determinado.
- Abra uma conexão proxy.
A descoberta do MysterySnail RAT e de sua infraestrutura ajudou os pesquisadores de malware a aprender mais sobre as operações atuais do Iron Husky.