The MisterySnail RAT visa empresas de TI e empreiteiros de defesa

O MysterySnail RAT é uma nova peça de malware direcionada aos sistemas Windows. Ele está ativo desde agosto de 2021 e seus operadores estão explorando vulnerabilidades de dia zero nas versões do Microsoft Windows. A vulnerabilidade mais recente é CVE-2021-40449, mas os criminosos também contam com exploits mais antigos, contra os quais alguns sistemas podem não estar protegidos - como o CVE-2016-3309.

Após a descoberta do MysterySnail RAT, os pesquisadores foram capazes de identificar a mesma carga em ataques mais antigos que visavam empresas de TI, entidades diplomáticas e empreiteiros envolvidos nos setores militar e de defesa. Supostamente, o uso recente do MysterySnail RAT pode ser atribuído ao ator de Advanced Persistent Threat (APT) com base na China conhecido como Iron Husky .

O RAT MisterySnail usa código gerado aleatoriamente para ofuscação

Freqüentemente, os desenvolvedores de malware buscam tornar suas cargas o mais leves possíveis. Isso reduz a atenção que atraem e também pode permitir que voem sob o radar de ferramentas de segurança específicas. O MysterySnail RAT é bastante robusto em termos de tamanho - seu executável tem mais de 8 MB. No entanto, os invasores estão usando o espaço de armazenamento extra para armazenar um código gerado aleatoriamente, que visa ofuscar a verdadeira natureza ameaçadora dos arquivos executáveis. Esta pode ser a razão pela qual MysterySnail RAT foi identificado e dissecado corretamente agora.

Quando o MysterySnail RAT infecta uma máquina, ele coleta e envia informações ao servidor do invasor. Esses dados incluem o nome do computador e o nome do usuário, a versão exata do Windows que o sistema usa e seu endereço IP local. Os criminosos são capazes de enviar comandos remotos para operar o implante e dizer-lhe para realizar as tarefas que suporta: