Los investigadores dicen que JhoneRAT tiene varias técnicas antidetección, incluido el uso de Google Drive, Google Forms y Twitter.
Los investigadores advierten sobre un nuevo troyano de acceso remoto (RAT), denominado JhoneRAT, que se distribuye como parte de una campaña activa, en curso desde noviembre de 2019, que se dirige a las víctimas en el Medio Oriente. Una vez descargado, el RAT recopila información en las computadoras de las víctimas y también puede descargar cargas adicionales.
La evidencia muestra que los atacantes detrás de JhoneRAT han tomado medidas adicionales para garantizar que la RAT se distribuya a las víctimas de habla árabe. Los investigadores señalan que los atacantes también han utilizado varios servicios en la nube, como Google Drive y Google Forms, como parte del proceso de infección de la carga útil.
"La campaña muestra a un actor que desarrolló una RAT casera que funciona en múltiples capas alojadas en proveedores en la nube", dijeron investigadores de Cisco Talos en un análisis el pasado día jueves. “JhoneRAT se desarrolla en Python pero no se basa en el código fuente público, ya que a menudo es el caso de este tipo de malware. Los atacantes hicieron un gran esfuerzo para seleccionar cuidadosamente los objetivos ubicados en países específicos según el diseño del teclado de la víctima”.
La RAT se transmite primero a las víctimas a través de documentos maliciosos de Microsoft Office. Threatpost se ha comunicado con los investigadores para aclarar si esos documentos se difunden por correo electrónico u otros métodos.
Los investigadores identificaron tres documentos maliciosos que distribuyen JhoneRAT: el más antiguo, de noviembre de 2019, se llama "Urgent.docx". El segundo documento es de principios de enero de 2020, llamado "fb.docx", y contiene nombres de usuario y contraseñas de una supuesta fuga de datos de Facebook. Un documento final más reciente es de mediados de enero y pretende ser de una organización de los Emiratos Árabes Unidos. El autor difumina el contenido del documento y le pide al usuario que habilite la edición para ver el contenido.
Una vez que el usuario abre el documento o habilita la edición, los documentos maliciosos descargan un documento de Office adicional de Google Drive con una macro incrustada.
Curiosamente, los atacantes utilizan múltiples servicios en la nube, como Google Drive, Twitter y Google Forms, por ejemplo, para finalmente descargar la carga útil. Si bien debe tenerse en cuenta que esta no es la primera vez que un atacante usa plataformas de proveedores en la nube de esta manera, los investigadores dicen que este método ayuda al malware a evadir la detección antivirus y las defensas informáticas.
"Es difícil para los objetivos identificar tráfico legítimo y malicioso hacia la infraestructura del proveedor de la nube", dijeron los investigadores. "Además, este tipo de infraestructura utiliza HTTPS y el flujo está encriptado, lo que hace que la intercepción MITM (Man In The Middle) sea más complicado de detctar para el defensor".
Una vez que el documento se descarga en Google Drive, se ejecuta un comando para descargar una imagen desde un nuevo enlace de Google Drive (con un binario codificado en base64 adjunto al final). El nombre de archivo de la imagen es cartoon.jpg, img.jpg o photo.jpg, y la imagen generalmente representa una caricatura (como la caricatura que se muestra en la imagen), dijeron los investigadores.
"Es interesante observar que el nombre de archivo de la imagen descargada se genera aleatoriamente en función de un diccionario: matriz (" caricatura "," img "," foto ")", mencionaron.
Una vez decodificado, el binario base64 es un binario AutoIT, que suelta un nuevo archivo en Google Drive. Este archivo contiene la carga útil final, JhoneRAT, que comienza lanzando tres subprocesos: uno responsable de verificar si el sistema tiene un diseño de teclado específico (para verificar que la víctima hable árabe), el segundo para crear persistencia y el tercero para iniciar el ciclo principal de la RAT.
A partir de ahí, la extracción de datos (como capturas de pantalla del sistema) se envía a través de ImgBB, un servicio gratuito de alojamiento y uso compartido de imágenes. Los comandos también se envían mediante la publicación de datos en Formularios de Google (una aplicación de administración de encuestas que se incluye en la suite de oficina de Google Drive); y los archivos continúan descargándose en Google Drive.
“Esta RAT utiliza tres servicios en la nube diferentes para realizar todas sus actividades de comando y control (C2). Comprueba si hay nuevos comandos en los tweets desde el identificador @ jhone87438316 (suspendido por Twitter) cada 10 segundos utilizando el analizador HTML BeautifulSoup para identificar nuevos tweets”, dijeron los investigadores.
La RAT también utiliza otras técnicas para evitar la detección, las máquinas virtuales y el análisis. La macro contiene una técnica de detección de máquina virtual basada en el número de serie de los discos disponibles en el entorno de la víctima.
“Además, los atacantes implementaron trucos anti-VM (y sandbox) y anti-análisis para ocultar las actividades maliciosas al analista. Por ejemplo, la VM o el sandbox deben tener la distribución del teclado de los países seleccionados y un número de serie del disco duro", dijeron los investigadores.
Los investigadores dijeron que la campaña está en curso.
“En este momento, se revoca la clave API y se suspende la cuenta de Twitter. Sin embargo, el atacante puede crear fácilmente nuevas cuentas y actualizar los archivos maliciosos para seguir funcionando. Esta campaña nos muestra que la detección basada en la red es importante pero debe completarse mediante un análisis del comportamiento del sistema”, dijeron.
Fuente: Threat Post
0 Comentarios