Nueva variante del malware ComRAT v4, utiliza Gmail para recibir comandos y filtrar datos confidenciales

Nueva variante del malware ComRat v4

ComRAT o también conocido como Agent.BTZ, es un troyano de acceso remoto (RAT, por sus siglas en inglés), es decir un malware que controla el sistema a través de una conexión de red remota. Este malware tuvo sus primeros pasos en el año 2007, donde se distribuía a través de unidades extraíbles, entre los años 2007 y 2012 fueron lanzadas dos nuevas versiones con el mismo código base modificado.

Recientemente se ha descubierto una nueva variante de la versión 4 de ComRAT, que toma ventaja de la interfaz de usuario de Gmail para recibir a través de esta comandos y filtrar datos confidenciales de Gmail, por lo que es capaz de omitir algunos controles de seguridad, ya que no depende de ningún dominio malicioso. ComRAT, fue encontrado por primera vez a principios de 2017 y utilizado aun hasta enero de 2020, forma parte del grupo de ciberdelincuentes Turla APT (también conocido como Snake) que han atacado a organizaciones militares y ministerios desde el año 2004.

¿Qué puede hacer la nueva variante de ComRAT V4 en un equipo comprometido?

La variante de ComRAT V4, actualizó su backdoor con un código totalmente nuevo y más complejo que los anteriores y, la capacidad de realizar diferentes acciones dentro del equipo comprometido, como:

• Ejecutar otros programas adicionales en el equipo comprometido o extraer archivos confidenciales del equipo,
• Robar documentos confidenciales de una organización, utilizando servicios de la nube públicos como OneDrive y 4shared,
• Ejecutar comandos con el fin de recopilar información sobre el usuario o grupo de usuarios de la red de Microsoft Windows,
• Omitir los controles de los softwares de seguridad (Antivirus, Sistemas de Prevención de Intrusos, entre otros), y
• Comprobar si el malware ha sido detectado por los mismos

¿Cómo funciona el malware en el equipo comprometido?

Datos técnicos

Una vez que el malware ha conseguido el acceso a la computadora de la víctima, se ejecuta el script PowerShell que escribe una carga útil cifrada en el registro de Windows, crea una tarea en Windows para la persistencia. Luego, carga ambos en el explorer.exe. De esta manera el orquestador del malware corre en el explorer.exe, para inyectar una libreria de comunicacion en el navegador por defecto (con el fin de comunicarse con el orquestador) y crea un sistema de archivos virtual FAT16.

Seguidamente, el navegador utiliza dos canales diferentes: a través del protocolo http (conocido internamente en el malware como Legacy) y por el correo electrónico (en este caso la interfaz web de Gmail), para recibir comandos de un servidor C&C (Comando y Control) controlado totalmente por el atacante.

En este último canal se utilizan cookies (archivos creados por un sitio web que contienen pequeñas cantidades de datos enviados entre un emisor y un receptor) almacenadas en la configuración para conectarse con la interfaz web y verificar la bandeja de entrada en busca de correos específicos con comandos cifrados. Estos comandos son enviados por el atacante desde otra dirección alojada en un proveedor de correo electrónico gratuito diferente (como GMX).

¿Como se infecta un dispositivo con el malware ComRAT V4?

Un usuario podría infectarse con este malware a través de la descarga e instalación de software malicioso, que podrían obtenerse desde páginas web no oficiales, enlaces fraudulentos o no confiables y seguidamente brindando a este permisos de acceso al sistema permitiendo al malware podría tomar control del sistema afectado, sin alertar a la víctima.

Recomendaciones:

• Descargar programas o archivos únicamente de fuentes oficiales o confiables.
• Prestar atención a los correos electrónicos desconocidos o con contenidos sospechosos. En caso de sospechas confirme con el remitente.
• No ingresar a enlaces dudosos enviados a través de correos electrónicos, servicios de mensajerí­a, redes sociales, etc.
• Realizar copias de seguridad (backup) de toda la información crí­tica en forma periódica y almacenarlos en medios externos(disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
• Instalar programas antivirus/firewall

• Hacer una revisión periódica del sistema operativo y aplicaciones utilizadas para mantenerlos siempre actualizados, con los últimos parches de seguridad disponibles en los sitios web oficiales del fabricante.
• En caso de sospechas de infección con el malware, se recomienda:
  • Desconectar el equipo de internet,
  • Realizar un análisis completo del sistema con un antivirus en busca de amenazas,
  • Cambiar contraseñas de los correos, cuentas personales y cualquier servicio que requiera autenticación

Referencias:

• https://www.welivesecurity.com/la-es/2020/05/26/turla-actualizo-backdoor-comrat/
• https://thehackernews.com/2020/05/gmail-malware-hacker.html
• https://www.scmagazine.com/home/security-news/malware/turlas-comrat-v4-uses-gmail-web-ui-to-receive-commands-steal-data/
• https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/