Nueva característica en el malware ComRAT utiliza Gmail para comunicarse remotamente


Un troyano de acceso remoto (RAT) es un tipo de malware diseñado para controlar un sistema por medio de una conexión remota, transportado por otro malware de tipo troyano y se suele instalarse sin conocimiento del usuario, con el fin de realizar sus operaciones de forma oculta, incluyendo los software de seguridad, como los antivirus.

Agent.BTZ, también conocido como ComRAT fue visto por primera vez en el 2007 y se le atribuye su desarrollo al grupo de cibercriminales Turla, también conocidos como Snake. ComRAT demostró sus capacidades de propagación como gusano a través de memorias removibles (Pen Drives, Disco Duros externos, etc) en sus inicios. Desde entonces, a lo largo de los años se han visto nuevas versiones con nuevas características que permiten evadir las detecciones de los softwares de protección o mejorar sus funciones maliciosas, aunque siempre con el mismo código fuente. Pero, durante el año 2017 un grupo de investigadores notó la existencia de una nueva versión, con un código base totalmente y mucho más complejo que su predecesor.

Este nueva versión ComRAT v4 aún sigue siendo utilizada, comprobandose por  los recientes incidentes detectados en Enero 2020 por los investigadores, donde los ataques fueron dirigidos a dos ministerios de relaciones exteriores y a un parlamento nacional, filtrando documentos con información delicada, utilizando servicios de la nube públicas como OneDrive y 4Shared.

Los investigadores destacan que el uso de ComRAT es exclusivo por el grupo Turla, debido las pruebas recolectadas, como en usar el mismo nombre interno “Chinch”, el protocolo personalizado de comunicación con el comando y control (C2) sobre HTTP y la estructura de red es compartida con otro malware de Turla “Mosquito”.

En la mayoría de casos analizados por los expertos, ComRAT es usado para robar documentos confidenciales. Como desplegando un ejecutable .NET para interactuar un servidor central de base de datos Microsoft SQL, así como también ejecutar varios comandos para recopilar información del Active Directory (AD).

La arquitectura de ComRAT inicia desde la ejecución de un Script PowerShell, el cual crea una tarea que persiste en la ejecutar la carga útil (Payload) en “explorer.exe” y cifra su registro, una vez ejecutado el payload. Con un sistema de archivos con formato “Virtual FAT16”, el payload  hará de orquestador de todas las funciones de ComRAT, dichas funciones serán divididas en dos partes, una será para la comunicación con el operador malicioso y la otra será la ejecución de los comandos.


Arquitectura resumida de ComRAT


Como podemos ver en la imagen anterior, revela la nueva característica de ComRAT, la cual consiste en comunicar comandos y enviar respuestas al operador malicioso de Turla, utilizando la plataforma de correos electrónicos Gmail. Eso significa que ComRAT posee dos canales de comunicación diferentes, la conocida por su protocolo personalizado HTTP y otra por la interfaz Web Gmail.

Este nuevo módulo, es ejecutado mediante el uso de cookies almacenadas en la configuración, conectándose a la interfaz web de Gmail para verificar la bandeja de entrada, en búsqueda de correos electrónicos específicos con archivos adjuntos, dichos archivos contienen comandos cifrados y estos a su vez, son enviados desde una dirección diferente, como GMX.

Nueva característica de ComRAT




COMENTARIOS

Nombre

Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,15,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,7,ciberseguridad,124,Cisco,1,Citrix,4,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,6,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,10,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,3,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Exchange,2,exploit,5,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,Gmail,1,GoDaddy,1,google,32,Hacking,83,Hardware,7,Hosting,3,HTML5,1,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,Linux,8,Macromedia,1,Malware,39,Malwares,32,Messenger,1,MFA,1,Microsoft,34,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,Protocolos,12,Python,1,QR,1,Ransomware,14,RAT,1,RCE,1,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,4,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,22,Vulnerabilidades,74,Web,7,WhatsApp,5,wifi,5,Windows,15,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Nueva característica en el malware ComRAT utiliza Gmail para comunicarse remotamente
Nueva característica en el malware ComRAT utiliza Gmail para comunicarse remotamente
https://1.bp.blogspot.com/-MuK7C_s8d3Y/Xs1xNZRWvGI/AAAAAAAACBQ/fu5sqXtYpOctlKxHr4S3T07BI8NEXhGAgCK4BGAsYHg/w640-h320/Malware%2BComRAT.jpg
https://1.bp.blogspot.com/-MuK7C_s8d3Y/Xs1xNZRWvGI/AAAAAAAACBQ/fu5sqXtYpOctlKxHr4S3T07BI8NEXhGAgCK4BGAsYHg/s72-w640-c-h320/Malware%2BComRAT.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/05/nueva-caracteristica-en-el-malware.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/05/nueva-caracteristica-en-el-malware.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy