Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota Interlock RAT

Interlock RAT

El Mezo el Eines d'administració remota, Amenaça persistent avançada (APT), Ransomware
Traduir a:

Els ciberdelinqüents responsables de l'operació de ransomware Interlock estan intensificant els seus esforços amb una variant PHP recentment desenvolupada del seu troià d'accés remot (RAT) personalitzat, Interlock RAT, també conegut com a NodeSnake. Aquesta amenaça millorada s'ha observat en una campanya generalitzada que utilitza un mecanisme de lliurament evolucionat anomenat FileFix, una derivació de la tècnica ClickFix coneguda anteriorment. El desenvolupament marca un canvi significatiu en l'estratègia d'atac del grup, ampliant el seu abast i demostrant una sofisticació tècnica creixent.

Entrada furtiva: injecció de scripts i redirecció de trànsit

La campanya, activa des del maig del 2025, comença amb llocs web compromesos injectats amb un fragment de JavaScript d'una sola línia aparentment benigne enterrat al codi HTML. Aquest script funciona com un sistema de distribució de trànsit (TDS), que utilitza un filtratge basat en IP per redirigir els visitants específics a pàgines de verificació CAPTCHA falses. Aquestes pàgines fraudulentes es basen en esquers basats en ClickFix per enganyar els usuaris perquè executin scripts maliciosos de PowerShell. El resultat és la instal·lació d'Interlock RAT, que atorga als atacants un punt de suport al sistema de la víctima.

FileFix: Una innovació de lliurament armat

Les darreres campanyes observades el juny de 2025 mostren l'ús de FileFix, una versió més avançada de ClickFix, com a vector d'infecció principal. FileFix explota la barra d'adreces de l'Explorador de fitxers de Windows per enginyar socialment els usuaris perquè executin ordres malicioses. Originalment demostrat com a prova de concepte el juny de 2025, FileFix ara s'ha posat en funcionament per distribuir la variant PHP d'Interlock RAT i, en alguns casos, aquest desplegament actua com a precursor de la instal·lació de la variant més tradicional basada en Node.js.

Càrregues útils multietapa i capacitats furtives

Un cop desplegat, Interlock RAT inicia el reconeixement de l'amfitrió i l'exfiltració d'informació del sistema en format JSON. Comprova els nivells de privilegis (USUARI, ADMIN o SISTEMA) i estableix contacte amb un servidor remot de comandament i control (C2). Es recullen càrregues útils addicionals, ja siguin fitxers EXE o DLL, per a la seva execució.

  • Els mecanismes de persistència inclouen:
  • Modificació del Registre de Windows per mantenir l'execució de l'inici.
  • Habilitació del moviment lateral mitjançant l'accés al protocol d'escriptori remot (RDP).

A més, una tècnica d'evasió notable implica l'ús de subdominis de túnels de Cloudflare, que emmascaren la ubicació real del servidor C2. Les adreces IP codificades serveixen com a còpies de seguretat per mantenir la connectivitat si els túnels s'interrompen.

Seguiment de l’amenaça: objectius passats i motius presents

A principis del 2025, Interlock RAT va participar en atacs contra governs locals i institucions educatives al Regne Unit, aprofitant la variant Node.js. Tanmateix, el canvi recent a PHP, un llenguatge de desenvolupament web comú, suggereix un enfocament més oportunista dirigit a una gamma més àmplia d'indústries. La transició a PHP indica una decisió tàctica per ampliar els vectors d'infecció, explotant potencialment infraestructures web vulnerables.

Indicadors clau de la campanya

Les víctimes i els agents de ciberseguretat han d'estar atents a les següents característiques de les darreres operacions d'Interlock:

Vector d'atac inicial:

  • Injeccions de JavaScript d'una sola línia en llocs web legítims però compromesos.
  • Redirecció a pàgines CAPTCHA falses mitjançant filtratge d'IP.

Comportament del programari maliciós després de la infecció:

  • Reconeixement de l'amfitrió i exfiltració d'informació del sistema en format JSON.
  • Comprovació de privilegis i execució remota de càrrega útil.
  • Persistència basada en registre i explotació RDP per al moviment.

Conclusió: el perfil d’amenaces creixent d’Interlock Group

L'aparició de la variant PHP d'Interlock RAT demostra la creixent versatilitat del grup i la seva intenció d'avançar-se a les contramesures defensives. Aprofitant tant els scripts web com les funcions natives del sistema, els atacants d'Interlock estan desdibuixant les línies entre el lliurament tradicional de programari maliciós i l'abús creatiu de les funcionalitats quotidianes del sistema. Els equips de seguretat han de romandre vigilants i implementar defenses per capes per detectar i bloquejar aquestes amenaces en evolució.

Tendència

Més vist

Carregant...