ObliqueRAT vinculado al grupo de amenaza que lanza ataques contra objetivos del gobierno

Los investigadores han descubierto un nuevo troyano de acceso remoto (RAT) que parece ser obra de un grupo de amenaza especializado en ataques contra objetivos gubernamentales y diplomáticos. El jueves, los investigadores de Cisco Talos dijeron que el malware, denominado ObliqueRAT, se está implementando en una nueva campaña centrada en objetivos en el sudeste asiático. La última campaña comenzó en enero de 2020 y continúa. Los ciberdelincuentes detrás del esquema utilizan correos electrónicos de phishing como el principal vector de ataque, con documentos maliciosos de Microsoft Office adjuntos a los correos electrónicos fraudulentos diseñados para implementar la RAT. Ver también: troyano Loda revitalizado con una actualización sigilosa, nuevos exploits Los archivos adjuntos tienen nombres inocentes, como Company-Terms.doc o DOT_JD_GM.doc, que puede ser la abreviatura de "Departamento de Telecomunicaciones_Descripción del Trabajo_General Manager". La protección con contraseña está implementada, una técnica que puede diseñarse para tratar de hacer que los documentos parezcan legítimos y seguros en entornos corporativos. Las credenciales necesarias para abrir el archivo probablemente estén contenidas en el cuerpo principal del correo electrónico de phishing. Si la víctima ingresa la contraseña y abre el documento, un script VB malicioso entra en acción, extrayendo un binario malicioso y soltando un ejecutable que actúa como el gotero para ObliqueRAT. La persistencia se mantiene mediante la creación de un proceso de inicio para el ejecutable cada vez que se reinicia el sistema comprometido. Talos considera que la RAT es "simple" y contiene la funcionalidad principal de un troyano típico, incluida la capacidad de extraer archivos y datos del sistema para transferirlos a un servidor de comando y control (C2); funcionalidad para descargar y ejecutar cargas útiles adicionales, y la capacidad de terminar procesos existentes. CNET: Norton Secure VPN vs. ExpressVPN: seguridad, velocidad y precio comparados Sin embargo, una característica interesante es que el malware busca un directorio particular para capturar los archivos que residen dentro. El nombre del directorio, C: \ ProgramData \ System \ Dump, está codificado. "La RAT asegura que solo una instancia de su proceso se ejecute en el punto final infectado en cualquier momento dado al crear y verificar un mutex llamado Oblique", dicen los investigadores. "Si el mutex nombrado ya existe en el punto final, la RAT dejará de ejecutarse hasta el próximo inicio de sesión de la cuenta de usuario infectada". Para evitar la detección y los esfuerzos de ingeniería inversa, el malware también verificará el nombre del sistema y la información en busca de indicios de que la PC esté protegida, como el uso de la "prueba" de nombre de usuario. Según Talos, las similitudes entre cómo se está extendiendo el RAT y dentro de las variables de script VBA utilizadas en los documentos maliciosos sugieren un posible vínculo con CrimsonRAT, un grupo previamente conectado a ataques contra organizaciones diplomáticas y políticas en la misma región. TechRepublic: AT&T rescata a RSA: cómo el coronavirus está interrumpiendo las conferencias tecnológicas en todo el mundo "Esta campaña muestra a un actor de amenazas que realiza una distribución dirigida de maldocs similares a los utilizados en la distribución de CrimsonRAT", dice Talos. "Sin embargo, lo que destaca aquí es que el actor ahora está distribuyendo una nueva familia de RATS. Aunque no es técnicamente sofisticado, ObliqueRAT consiste en una gran cantidad de capacidades que se pueden usar para llevar a cabo diversas actividades maliciosas en el punto final infectado". " pag VER GALERÍA COMPLETA ¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0