FatalRAT aprovecha Telegram para distribuir enlaces maliciosos

Un troyano de acceso remoto se está distribuyendo a través de enlaces de descarga de software o artículos multimedia en los canales de Telegram, según los investigadores de AT&T Alien Labs.

Los canales de Telegram se utilizan para transmitir mensajes a una gran audiencia. Pero a diferencia de los grupos de Telegram, solo los administradores pueden enviar mensajes a través del canal.

El malware, apodado FatalRAT, puede ser ejecutado de forma remota y puede realizar técnicas de evasión de defensa, obtener la persistencia del sistema, registrar las pulsaciones del usuario, recoger información del sistema y exfiltrar datos a través de un canal de mando y control cifrado, dicen los investigadores.

AT&T Alien Labs informa que ha descubierto muestras de FatalRAT en la naturaleza en los últimos meses, pero no dice cuántas víctimas han sido afectadas.

Análisis de los ataques

Antes de que el malware infecte completamente un sistema, ejecuta varias pruebas, buscando la existencia de productos de máquinas virtuales y comprobando el espacio en disco y el número de procesadores físicos, señala AT&T Alien Labs.

«Si la máquina pasa las pruebas del malware AntiVM, FatalRAT comenzará entonces su actividad maliciosa. En primer lugar, descifra cada una de las cadenas de configuración por separado. Estas cadenas de configuración incluyen la dirección C2, el nombre del nuevo archivo de malware, el nombre del servicio y otros ajustes», afirma Ofer Caspi, investigador de seguridad de Alien Labs.

Una prueba AntiVM detecta los archivos de configuración de la máquina virtual, los ejecutables, las entradas del registro u otros indicadores para manipular su flujo de ejecución original.

La RAT también desactiva la capacidad del usuario de bloquear el ordenador mediante el comando CTRL+ALT+DELETE utilizando la clave del registro DisableLockWorkstation. Una vez desactivado el bloqueo del ordenador, el malware activa un keylogger.

«FatalRat puede persistir modificando el registro o creando un nuevo servicio», dice Caspi. «Si la persistencia se realiza modificando el registro, creará el valor ‘SoftwareMicrosoftWindowsCurrentVersionRunSVP7’ para ejecutar el malware en el momento del arranque. Si se utiliza el servicio de configuración para la persistencia, FatalRat recuperará la descripción de su configuración».

A continuación, el malware recopila información, como la dirección IP externa, el nombre de usuario y otra información sobre la víctima desde la máquina infectada y la envía al servidor C2.

Como técnica de evasión de la defensa, el malware identifica todos los productos de seguridad que se ejecutan en la máquina iterando a través de todos los procesos en ejecución y buscando la existencia de una lista predefinida de productos de seguridad, señalan los investigadores. Y para facilitar al atacante la detección de los productos de seguridad instalados, la RAT convierte el nombre del proceso en un nombre de producto antes de enviar la lista al servidor C2, dicen los investigadores.

«Para comunicarse con el C2, el malware utiliza una rutina aritmética para cifrar los datos enviados entre la víctima y el atacante. Este cifrado incluye una clave XOR de un byte y la adición de una constante al valor obtenido», añaden.

El mensaje encriptado se envía entonces al C2 a través del puerto 8081 y espera la orden del atacante.

«El malware tiene varias rutinas para manejar diferentes navegadores», señala Caspi. «Algunas de estas rutinas incluyen la eliminación de la información del usuario para navegadores específicos (Edge, 360Secure Browser, QQBrowser, SogouBrowser y Firefox). En el caso de Chrome, consultará la información del usuario y luego eliminará el contenido. La eliminación de la información guardada obligará al usuario a introducir, por ejemplo, el usuario y la contraseña, que el malware puede capturar con su keylogger.»

El malware también se propaga en la red de la víctima forzando las contraseñas débiles. A continuación, se copia a sí mismo en la carpeta dedicada como %Folder%hackshen.exe y ejecuta el archivo copiado de forma remota. Roba los datos almacenados -en Chrome, por ejemplo- o elimina la información guardada con un manejador para diferentes navegadores.

Los comandos de FatalRAT incluyen funciones como keylogger, cambiar la resolución, desinstalar UltraViewer, descargar e instalar AnyDesk. Ejecuta comandos de shell, modifica las claves del registro y puede descargar y ejecutar un archivo.

Explotación de Telegram

En otro ejemplo reciente de atacantes que aprovechan Telegram, la empresa de seguridad Cofense descubrió en febrero una campaña de phishing que intentaba robar las credenciales de las víctimas abusando de la API de Telegram. Se utilizó para crear dominios maliciosos que ayudan a eludir herramientas de seguridad como las pasarelas de correo electrónico seguras.

En septiembre de 2020, la empresa de seguridad Malwarebytes descubrió que los estafadores utilizaban Telegram para barrer los datos de las tarjetas de pago de las víctimas utilizando cadenas de codificación Base64 junto con un bot.

Y a finales de 2019, los investigadores de Juniper Threat Labs descubrieron que los hackers se dirigían a las víctimas utilizando un troyano que creaba un canal seguro de Telegram para enviar datos de vuelta al servidor de mando y control de los atacantes.

Fuente: bankinfosecurity

Comments are closed.