Llegamos a ustedes gracias a:



Alertas de Seguridad

Un nuevo malware RAT utiliza sofisticadas técnicas de evasión

Y aprovecha la mensajería COVID-19

[11/05/2022] Los investigadores del proveedor de ciberseguridad Proofpoint han analizado una nueva campaña de malware troyano de acceso remoto (RAT) que utiliza sofisticadas técnicas de evasión y aprovecha la mensajería temática COVID-19 para dirigirse a organizaciones mundiales. El malware, apodado "Nerbian RAT" y escrito en el lenguaje de programación Go, utiliza importantes capacidades de antianálisis y antirretroceso y bibliotecas Go de código abierto para llevar a cabo actividades maliciosas, declararon los investigadores.

La campaña fue analizada por primera vez por Proofpoint a finales de abril y afecta de forma desproporcionada a entidades de Italia, España y Reino Unido. En un comunicado, el vicepresidente de Investigación y Detección de Amenazas de Proofpoint, Sherrod DeGrippo, dijo que la investigación demuestra cómo los autores de malware siguen operando en la intersección de la capacidad de código abierto y la oportunidad criminal.

El malware RAT de bajo volumen burla a la OMS y aprovecha la pandemia COVID-19

A partir del 26 de abril del 2022, los investigadores de Proofpoint observaron una campaña de malware de bajo volumen dirigida a varios sectores con correos electrónicos que decían representar a la Organización Mundial de la Salud (OMS) y que compartían información importante sobre la COVID-19. Los correos electrónicos incluían un documento de Word adjunto que contenía macros que, al abrirse, revelaban información relacionada con la seguridad del COVID-19, el autoaislamiento y el cuidado de las personas.

"Curiosamente, el señuelo es similar a los temas utilizados en los primeros días de la pandemia en el 2020, concretamente suplantando a la OMS para distribuir información sobre el virus", escribieron los investigadores. Los documentos también contienen logotipos del Health Service Executive (HSE), del Gobierno de Irlanda y del National Council for the Blind of Ireland (NCBI), añadió Proofpoint.

El RAT Nerbian muestra una ruta de ataque con macros y reutilización de código

Cuando las macros están habilitadas, el documento ejecuta una macro incrustada que deja caer un archivo .bat que realiza una petición web de invocación de PowerShell (IWR) y cambia el nombre del archivo descargado a UpdateUAV.exe antes de dejarlo caer en el disco duro de la víctima, dijeron los investigadores. "UpdateUAV.exe es la carga útil descargada inicialmente desde el documento de Word malicioso. Es un ejecutable de 64 bits, escrito en Golang, de 3,5MB de tamaño y empaquetado en UPX", escribieron. "Probablemente, este malware está empaquetado con UPX para reducir el tamaño total del ejecutable que se descarga. Desempaquetado, el archivo tiene 6,6MB en total".

Proofpoint llamó a este malware "Nerbian RAT" basándose en uno de los nombres de las funciones del dropper. Los investigadores observaron que el ejecutable UpdateUAV presenta una importante reutilización de código, con cadenas que hacen referencia a varios proyectos de GitHub.

Las sofisticadas técnicas de evasión de Nerbian RAT

El Nerbian RAT muestra varias técnicas sofisticadas de evasión, señaló Proofpoint. Por ejemplo, el dropper detendrá la ejecución al encontrar ciertas condiciones, incluyendo si:

  • El tamaño del disco duro del sistema es inferior a 100 GB.
  • El nombre del disco duro contiene cadenas virtuales, vbox o vmware.
  • La dirección MAC consultada devuelve ciertos valores OUI.
  • Hay programas específicos de ingeniería inversa/depuración.
  • exe, RAMMap.exe, RAMMap64.exe, o vmmap.exe programas de análisis de memoria/manipulación de memoria están presentes.

Además de las comprobaciones antiretroceso, Proofpoint identificó otras comprobaciones antianálisis presentes en el binario, entre ellas:

  • Uso de la API IsDebuggerPresent para determinar si el ejecutable está siendo depurado.
  • Consultas de los siguientes nombres de interfaz de red: Intel PRO/1000 MT Network Connection, Loopback Pseudo-Interface 1 y Software Loopback Interface 1.

El malware demuestra la capacidad de registrar las pulsaciones del teclado y se comunica a través de SSL

Si se logra la habilitación, el dropper intentará establecer una tarea programada llamada MicrosoftMouseCoreWork para iniciar la carga útil de la RAT cada hora para establecer la persistencia, indicó Proofpoint. "El objetivo final del dropper es descargar el ejecutable llamado SSL, guardarlo como MoUsoCore.exe, y configurar una tarea programada para ejecutarlo cada hora como su principal mecanismo de persistencia".

Nerbian RAT también parece tener una variedad de funciones diferentes, incluyendo la capacidad de registrar las pulsaciones de teclas y, como la mayoría de las familias de malware modernas, prefiere manejar sus comunicaciones a través de SSL, continuó Proofpoint.

"A pesar de toda esta complejidad y del cuidado que se ha tenido para proteger los datos en tránsito y "vetar" el host comprometido, el dropper y la propia RAT no emplean una ofuscación pesada, aparte de que la muestra está empaquetada con UPX, lo que se puede argumentar que no es necesariamente para ofuscar, sino simplemente para reducir el tamaño del ejecutable", concluyeron los investigadores de Proofpoint. "Además, gran parte de la funcionalidad tanto del RAT como del dropper son fáciles de inferir debido a las cadenas que hacen referencia a los repositorios de GitHub".