Atacantes utilizan Backtail y RAT Cocktail para atacar a los Balcanes

Varios países están siendo blanco de una campaña de amenazas con motivaciones financieras, utilizando una puerta trasera y un troyano de acceso remoto RAT para tomar control de las computadoras infectadas.

BalkcanDoor y BalkanRat 2 cargas útiles detectadas por los investigadores de ESET ya han sido detectadas previamente por el CERT corata en 2017, y mucho más antes por un equipo serbio en 2016.

Campaña con motivación financiera

El cóctel de malware se coloca en las computadoras de las víctimas a través de correos electrónicos de malspam que se vinculan a archivos maliciosos. Una vez infectados, los atacantes pueden obtener el control total de los hosts comprometidos, ya sea a través de la línea de comandos con la ayuda de la carga útil de BalkanDoor o mediante una interfaz gráfica con la ayuda de BalkanRAT.

“Esta configuración poco común hace posible que los atacantes elijan el método más adecuado para instruir a la computadora para que realice las operaciones de su elección”

ESET

Los piratas informáticos detrás de esta campaña han sido observados mientras atacaban entidades de Croacia, Serbia, Montenegro y Bosnia y Herzegovina.

Esta campaña ha estado activa desde al menos 2016 en base a datos de telemetría interna, mientras que las muestras más recientes de BalkanDoor y BalkanRAT se detectaron en julio.

ESET

Si bien el malware de puerta trasera BalkanDoor no viene con un canal de exfiltración para enviar datos recopilados a sus maestros, ESK observó BalkanRAT al “soltar una herramienta que puede enumerar las tarjetas inteligentes disponibles, a través de las funciones API SCardListReadersA / SCardConnectA”.

“Las tarjetas inteligentes generalmente son emitidas por bancos o gobiernos para confirmar la identidad del titular. Si se usan incorrectamente, las tarjetas inteligentes pueden facilitar actividades ilegales / fraudulentas, por ejemplo, firmar digitalmente un contrato, validar una transacción de dinero, etc.”

ESET

Las dos cargas maliciosas

Aunque el malware BalkanDoor viene con una funcionalidad limitada, ya que admite una cantidad limitada de comandos, los investigadores han observado múltiples variantes desde 2016, todas ellas con una combinación diferente de capacidades que les permitiría crear shells remotos, tomar capturas de pantalla, para desbloquear la pantalla de la víctima sin necesidad de una contraseña, o para descargar más cargas útiles en los infectados.

La puerta trasera se coloca en los sistemas de los objetivos a través de la campaña de malspam (a veces usando PDF señuelo) que eliminará la carga útil de BalkanDoor y ganará persistencia con la ayuda de un script malicioso que agregará nuevas claves de registro y entradas de inicio.

Una vez que se inicia en las máquinas infectadas, el malware se conecta a uno de varios centros de comando y control (C2) almacenados dentro de una lista codificada y espera los comandos de sus maestros. Los atacantes tienen la opción de controlar varias computadoras comprometidas a la vez utilizando archivos INI que contienen la lista de máquinas que supuestamente ejecutan un conjunto específico de comandos.

El troyano de acceso remoto BalkanRAT es una pieza de malware más capaz que ESET encontró, con la RAT que deja caer el software Remote Utilities en las computadoras comprometidas, una herramienta de administración remota legítima que permitirá a los atacantes controlar de forma remota las máquinas de sus víctimas.

Para ocultar la herramienta de administración remota caída y evitar que el usuario la detecte, BalkanRAT “puede agregar excepciones al firewall, ocultar la ventana del RDS y el icono de su bandeja, y ocultar la presencia de procesos relacionados en el administrador de tareas”.

“Dado que la herramienta que BalkanRAT usa incorrectamente es legítima, aprovecha la infraestructura genuina de Remote Utilities para esta comunicación (rutils.com, server.rutils.com); debido a esto, la comunicación puede parecer legítima para el usuario y para los productos de seguridad”:

ESET

Si bien la RAT ocultará la mayoría de las veces los procesos utilizados para realizar sus tareas, los investigadores también han observado que oculta los procesos generados por la puerta trasera BalkanDoor, un hecho que refuerza aún más la conexión entre las dos cepas de malware.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: