Novo malware ComRAT usa o Gmail para receber comandos e extrair dados
Os pesquisadores de segurança cibernética descobriram hoje uma nova versão avançada do backdoor ComRAT, um dos backdoors conhecidos mais antigos usados pelo grupo Turla APT, que aproveita a interface da web do Gmail para receber secretamente comandos e extrair dados confidenciais.
“O ComRAT v4 foi visto pela primeira vez em 2017 e conhecido ainda em uso em janeiro de 2020”, disse a empresa de segurança cibernética ESET em um relatório compartilhado com o The Hacker News. “Identificamos pelo menos três metas: dois Ministérios das Relações Exteriores na Europa Oriental e um parlamento nacional na região do Cáucaso.”
Turla , também conhecida como Snake, está em atividade há mais de uma década, com uma longa história das campanhas de esgoto e caça submarina contra embaixadas e organizações militares pelo menos desde 2004.
A plataforma de espionagem do grupo começou como Agent.BTZ , em 2007, antes de evoluir para o ComRAT , além de ganhar recursos adicionais para obter persistência e roubar dados de uma rede local.
Sabe-se agora que as versões anteriores do Agent.BTZ foram responsáveis por infectar redes militares dos EUA no Oriente Médio em 2008. Nos últimos anos, Turla é dito ter sido por trás do comprometimento de Forças Armadas francesas em 2018 e o Ministério das Relações Exteriores austríaco início este ano.
As versões mais recentes do backdoor do ComRAT abandonaram o Agent. O mecanismo de infecção por USB-stick da BTZ em favor de se injetar em todos os processos da máquina infectada e executar sua carga útil principal em “explorer.exe”.
O que há de novo no ComRAT v4?
O ComRAT v4 (ou “Chinch” dos autores de malware), como é chamado o novo sucessor, usa uma base de código totalmente nova e é muito mais complexa do que suas variantes anteriores, de acordo com a ESET. A empresa disse que a primeira amostra conhecida do malware foi detectada em abril de 2017.
O ComRAT é normalmente instalado via PowerStallion , um backdoor leve do PowerShell usado pela Turla para instalar outros backdoors. Além disso, o carregador do PowerShell injeta um módulo chamado orquestrador ComRAT no navegador da Web, que emprega dois canais diferentes – um modo herdado e um email – para receber comandos de um servidor C2 e filtrar informações para os operadores.
“O principal uso do ComRAT é descobrir, roubar e exfiltrar documentos confidenciais”, disseram os pesquisadores. “Em um caso, seus operadores implantaram um executável .NET para interagir com o banco de dados MS SQL Server central da vítima, contendo os documentos da organização.”
Além disso, todos os arquivos relacionados ao ComRAT, com exceção da DLL do orquestrador e da tarefa agendada para persistência, são armazenados em um sistema de arquivos virtual (VFS).
O modo “email” funciona lendo o endereço de email e os cookies de autenticação localizados no VFS, conectando-se à visualização HTML básica do Gmail e analisando a página HTML da caixa de entrada (usando o analisador HTML Gumbo ) para obter a lista de emails com linhas de assunto que correspondem àqueles em um arquivo “subject.str” no VFS.
Para cada email que atenda aos critérios acima, o comRAT continua baixando os anexos (por exemplo, “document.docx”, “documents.xlsx”) e excluindo os emails para evitar processá-los uma segunda vez.
Apesar do formato “.docx” e “.xlsx” nos nomes dos arquivos, os anexos não são documentos em si, mas blobs de dados criptografados que incluem um comando específico a ser executado: ler / gravar arquivos, executar processos adicionais e coletar logs .
No estágio final, os resultados da execução do comando são criptografados e armazenados em um anexo (com a extensão dupla “.jpg.bfe”), que é enviada como um email para um endereço de destino especificado em “answer_addr.str” Arquivo VFS.
Os dados filtrados incluem detalhes do usuário e arquivos de log relacionados à segurança para verificar se suas amostras de malware foram detectadas durante uma varredura dos sistemas infectados.
Com base nos padrões de distribuição de e-mail do Gmail durante um período de um mês, a ESET disse que os operadores por trás da campanha estão trabalhando nos fusos horários UTC + 3 ou UTC + 4.
“A versão quatro do ComRAT é uma família de malware totalmente renovada, lançada em 2017”, disse o pesquisador da ESET, Matthieu Faou. “Seus recursos mais interessantes são o sistema de arquivos virtual no formato FAT16 e a capacidade de usar a interface do usuário da web do Gmail para receber comandos e filtrar dados. Dessa forma, é possível ignorar alguns controles de segurança porque não depende de nenhum domínio malicioso
https://abraseci.org/novo-malware-comrat-usa-o-gmail-para-receber-comandos-e-extrair-dados/