Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós kkRAT

Programari maliciós kkRAT

El Mezo el Programari maliciós, Eines d'administració remota
Traduir a:

Investigadors d'Infosec han descobert una campanya de programari maliciós activa dirigida a usuaris de parla xinesa que utilitza un troià d'accés remot prèviament indocumentat anomenat kkRAT. La campanya sembla que s'està executant des de principis de maig de 2025 i combina tècniques RAT familiars amb carregadors modulars i enganys per evadir la detecció i aconseguir la persistència.

ORIGENS DE LES AMENACES I ENLLAÇOS DE LA LÍNIA DE CODI

L'anàlisi mostra que kkRAT s'inspira en gran mesura en famílies establertes: el seu protocol de xarxa i algunes estructures de codi s'assemblen als utilitzats per Gh0st RAT (Ghost RAT) i Big Bad Wolf (大灰狼), un RAT utilitzat històricament per grups ciberdelinqüents amb seu a la Xina. Els autors van afegir capes de xifratge addicional a la compressió, produint un canal de comunicacions similar a Ghost amb un pas de xifratge addicional.

MÈTODE DE LLIURAMENT — INSTAL·LADORS FALSOS ALLOTJATS A PÀGINES DE GITHUB

Els actors van allotjar pàgines de phishing a les pàgines de GitHub que suplantaven aplicacions populars (per exemple, DingTalk) i lliuraven tres troians a través d'instal·ladors falsos. En abusar de la reputació de GitHub, els operadors van augmentar la probabilitat que les víctimes confiessin i executessin els instal·ladors. Els experts assenyalen que el compte de GitHub utilitzat per allotjar les pàgines ja no està disponible.

COMPORTAMENT DE L’INSTAL·LADOR

Quan s'executa, l'instal·lador fals realitza diverses comprovacions per detectar entorns de sandbox i màquines virtuals i intenta eludir els controls de seguretat. Sol·licita privilegis d'administrador; si s'atorguen, enumera i desactiva temporalment els adaptadors de xarxa actius, una capacitat que s'utilitza per interferir amb les comprovacions de xarxa de l'antivirus i per interrompre el funcionament normal de l'antivirus mentre continua amb els seus canvis.

TÈCNIQUES ANTIAV

El programari maliciós utilitza una tècnica Bring-Your-Own-Vulnerable-Driver (BYOVD) per neutralitzar les proteccions de terminals, reutilitzant codi del projecte de codi obert RealBlindingEDR. Cerca i s'adreça específicament a aquests conjunts de protecció per a consumidors i empreses:

Suite de seguretat d'Internet 360

Seguretat total 360

Conjunt de diagnòstics del sistema HeroBravo

Kingsoft Internet Security

QQ电脑管家

Després de finalitzar els processos antivirus rellevants, l'instal·lador crea una tasca programada amb privilegis de SISTEMA que executa un script per lots a cada inici de sessió de l'usuari, garantint que els processos antivirus de destinació es tanquin automàticament a cada inici de sessió. El programari maliciós també modifica les entrades del Registre de Windows de manera coherent amb la desactivació de les comprovacions de xarxa i, a continuació, torna a habilitar els adaptadors de xarxa un cop finalitzades les modificacions.

CADENA DE CÀRREGA ÚTIL

La funció principal de l'instal·lador és executar el shellcode, que obté i executa un fitxer de shellcode secundari ofuscat anomenat '2025.bin' des d'una URL codificada. Aquest shellcode actua com a descarregador i recupera un artefacte anomenat 'output.log', que després contacta dues URL per descarregar dos arxius ZIP:

  • trx38.zip: conté un executable legítim més una DLL maliciosa que s'inicia mitjançant la càrrega lateral de DLL.
  • p.zip — conté un fitxer anomenat longlq.cl que conté una càrrega útil final xifrada.

El programari maliciós crea una drecera a l'executable legítim de trx38.zip, col·loca aquesta drecera a la carpeta d'inici de l'usuari per a la persistència i executa l'executable legítim de manera que carregui lateralment la DLL maliciosa. La DLL desxifra i executa la càrrega útil final continguda a longlq.cl. La càrrega útil final de la campanya varia segons la instància de la campanya; una càrrega útil confirmada és kkRAT.

CAPACITATS DE kkRAT (COMANDES, PLUGINS I COMPORTAMENT)

kkRAT es connecta a un servidor C2 a través d'un sòcol, crea perfils de l'amfitrió infectat i descarrega complements i ordres que permeten un control remot i una recopilació de dades extensius. Les seves capacitats observades inclouen:

  • captura de pantalla i simulació de l'entrada de l'usuari (teclat i ratolí)
  • lectura i modificació del contingut del porta-retalls (utilitzat per a la substitució d'adreces de criptomoneda)
  • habilitar la funcionalitat d'escriptori remot i iniciar/tancar aplicacions de forma remota, inclosos els navegadors
  • execució remota d'ordres mitjançant un shell interactiu
  • gestió de Windows en pantalla i llistats/terminació de processos
  • enumeració de connexions de xarxa actives
  • llistar les aplicacions instal·lades i desinstal·lar el programari seleccionat
  • lectura dels valors del registre d'execució automàtica i enumeració d'entrades d'execució automàtica
  • actuant com a proxy SOCKS5 per encaminar el trànsit i potencialment evitar tallafocs o VPN
  • instal·lació i desplegament d'eines de gestió remota com ara Sunlogin i GotoHTTP
  • mecanismes de persistència i un ampli conjunt d'ordres per invocar complements i funcions operatives

kkRAT també conté una funcionalitat de retallador que substitueix les adreces de moneders de criptomonedes copiades i rutines per esborrar dades d'una sèrie de navegadors i aplicacions de missatgeria (exemples observats: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer i Telegram).

RESUM — PER QUÈ ÉS IMPORTANT LA CAMPANYA D’ATAC

Aquesta campanya destaca per combinar: distribució d'enginyeria social a través de pàgines de GitHub d'aspecte legítim; tècniques avançades anti-anàlisi i anti-antivirus (detecció de sandbox/VM, BYOVD amb codi RealBlindingEDR); un carregador multietapa que utilitza la càrrega lateral de DLL i contenidors de càrrega útil xifrats; i un RAT (kkRAT) amb totes les funcions que admet tant el robatori d'informació (segrest del porta-retalls, captura de pantalla, exfiltració de dades) com les eines operatives (eines de gestió remota, proxy). L'arquitectura modular significa que la càrrega útil final es pot intercanviar, augmentant la flexibilitat per als operadors i complicant la detecció i l'atribució.

Tendència

Més vist

Carregant...