Malware ComRAT utiliza Gmail para recibir comandos y filtrar datos

Investigadores de ESET han encontrado una nueva versión de una de las familias de malware más antiguas utilizadas por el grupo Turla: ComRAT. Turla, también conocido como Snake, es un grupo de espionaje que ha estado activo durante más de diez años.

ComRAT, también conocido como Agent.BTZ y a sus desarrolladores como Chinch, es un troyano de acceso remoto (RAT, por sus siglas en inglés) que se ganó su mala fama después de su uso en una brecha que afectó al ejército de los Estados Unidos en 2008.

La primera versión de este malware, probablemente lanzado en 2007, mostró capacidades de gusano al distribuirse a través de unidades extraíbles. De 2007 a 2012, se lanzaron dos nuevas versiones principales de este RAT. Curiosamente, ambos emplearon la conocida clave XOR de Turla:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

Hasta mediados de 2017, los desarrolladores de Turla hicieron algunos cambios en ComRAT, pero estas variantes eran aparentemente todavía derivados del mismo código base.

Las versiones más nuevas de la puerta trasera de ComRAT han abandonado el Agente. El mecanismo de infección de la memoria USB de BTZ a favor de inyectarse en cada proceso de la máquina infectada y ejecutar su carga principal en «explorer.exe».

Ahora se sabe que las versiones anteriores de Agent.BTZ fueron responsables de infectar las redes militares estadounidenses en el Medio Oriente en 2008. En los últimos años, se dice que Turla estuvo detrás del compromiso de las Fuerzas Armadas francesas en 2018 y el Ministerio de Relaciones Exteriores de Austria a principios este año.

ComRAT v4

El ComRAT v4 (o «Chinch» de los autores del malware), como se llama al nuevo sucesor, usa una base de código completamente nueva y es mucho más complejo que sus variantes anteriores, según ESET. La firma dijo que la primera muestra conocida del malware se detectó en abril de 2017.

ComRAT generalmente se instala a través de PowerStallion , una puerta trasera PowerShell liviana utilizada por Turla para instalar otras puertas traseras. Además, el cargador PowerShell inyecta un módulo llamado ComRAT orchestrator en el navegador web, que emplea dos canales diferentes, un modo heredado y un modo de correo electrónico, para recibir comandos de un servidor C2 y filtrar información a los operadores.

«El uso principal de ComRAT es descubrir, robar y filtrar documentos confidenciales», «En un caso, sus operadores incluso desplegaron un ejecutable .NET para interactuar con la base de datos MS SQL Server central de la víctima que contiene los documentos de la organización».

Dicen los investigadores.

Además, todos los archivos relacionados con ComRAT, con la excepción de la DLL del orquestador y la tarea programada para la persistencia, se almacenan en un sistema de archivos virtual (VFS).

El modo de «correo» funciona leyendo la dirección de correo electrónico y las cookies de autenticación ubicadas en el VFS, conectándose a la vista HTML básica de Gmail y analizando la página HTML de la bandeja de entrada (usando el analizador HTML Gumbo ) para obtener la lista de correos electrónicos con líneas de asunto que coinciden con los de un archivo «subject.str» en el VFS.

Para cada correo electrónico que cumpla con los criterios anteriores, el comRAT procede descargando los archivos adjuntos (por ejemplo, «document.docx», «documents.xlsx») y eliminando los correos electrónicos para evitar procesarlos por segunda vez.

A pesar del formato «.docx» y «.xlsx» en los nombres de archivo, los archivos adjuntos no son documentos en sí, sino bloques de datos cifrados que incluyen un comando específico para ejecutarse: leer / escribir archivos, ejecutar procesos adicionales y recopilar registros .

En la etapa final, los resultados de la ejecución del comando se cifran y almacenan en un archivo adjunto (con la doble extensión «.jpg.bfe»), que luego se envía como un correo electrónico a una dirección de destino especificada en «answer_addr.str» Archivo VFS.

El modo «heredado», por otro lado, hace uso de la infraestructura C2 ya existente (ComRAT v3.x) para emitir comandos remotos, cuyos resultados se comprimen y transmiten a un servicio en la nube como Microsoft OneDrive o 4Shared.

Los datos filtrados comprenden detalles del usuario y archivos de registro relacionados con la seguridad para verificar si sus muestras de malware se detectaron durante un análisis de los sistemas infectados.

Basado en los patrones de distribución de correo electrónico de Gmail durante un período de un mes, ESET dijo que los operadores detrás de la campaña están trabajando en las zonas horarias UTC + 3 o UTC + 4.

«La versión cuatro de ComRAT es una familia de malware totalmente renovada lanzada en 2017», «Sus características más interesantes son el Sistema de archivos virtuales en formato FAT16 y la capacidad de usar la interfaz de usuario web de Gmail para recibir comandos y filtrar datos. Por lo tanto, puede omitir algunos controles de seguridad porque no depende de ningún dominio malicioso». «

investigador de ESET Matthieu Faou.

Fuente: underc0de

Comments are closed.