Programari maliciós LabRat

Un paquet de programari maliciós insidios que és excepcionalment difícil de detectar ha generat preocupacions a causa de la seva aparent capacitat per evitar nombroses mesures defensives i protocols de seguretat. Una investigació en profunditat realitzada per experts ha revelat el programari maliciós LabRat, que mostra un nivell notable de sofisticació en les seves estratègies per romandre ocult i operatiu sense ser detectat.

A diferència de la majoria d'atacs cibernètics similars que prioritzen la velocitat sobre la subtilesa, el desplegament del programari maliciós LabRat demostra un alt grau de sofisticació. Aquest actor d'amenaces ha dissenyat meticulosament el seu funcionament amb especial atenció al sigil, un factor que molts atacants tendeixen a descuidar. Aquests esforços conscients per part de l'actor de l'amenaça estan a punt per augmentar significativament els reptes als quals s'enfronten els defensors per identificar i contrarestar aquesta amenaça.

El programari maliciós LabRat realitza accions de criptografia i proxyjacking

L'anàlisi del programari maliciós LabRat mostra que l'amenaça és una instància relativament típica d'una eina de criptojacking i proxy jacking. En una campanya de criptojacking, els atacants utilitzen l'ordinador de la víctima de manera encoberta per extraure criptomoneda, generant beneficis mitjançant l'explotació dels recursos de la víctima. D'altra banda, una campanya de proxy-jacking consisteix a incorporar silenciosament l'ordinador de la víctima a una xarxa de compartició d'ample de banda entre iguals, cosa que beneficia l'atacant ampliant els seus recursos.

El mètode d'atac es basa en una vulnerabilitat reconeguda als servidors de GitLab (CVE-2021-2205), aprofitant-la per aconseguir l'execució remota de codi i introduir la càrrega útil de programari maliciós a la màquina compromesa.

El que distingeix aquesta campanya d'atac en particular, però, és la notable dedicació que mostren els creadors de programari maliciós per ocultar el seu codi. A més, l'adopció del servei TryCloudFlare per encaminar el trànsit afegeix una capa addicional, emmascarant eficaçment les identitats dels atacants dels sistemes que han compromès.

L'operació d'atac LabRat mostra un enfocament significatiu en el sigil

El programari maliciós LabRat està reforçat amb un xifratge robust i tècniques d'enginyeria anti-reversa sofisticades, la qual cosa fa que la seva detecció sigui una tasca molt difícil. Els binaris de persistència, codificats a Go, van mostrar una capacitat notable de passar desapercebuts, igual que els components cripto-minedors utilitzats per l'atac.

Els investigadors van observar que el grup LabRat havia mostrat un nivell excepcional de compromís en els seus esforços per enfosquir el codi, permetent que la càrrega útil amenaçada funcionés de manera encoberta. De fet, els actors de l'amenaça que hi ha darrere d'aquesta campanya semblen posar més èmfasi en mantenir el sigil en comparació amb molts altres, ja que reconeixen que el temps es correspon directament amb un major guany financer. Com més temps puguin mantenir el seu accés mentre executen el programari de proxy jacking i criptomineria, major serà el seu rendiment monetari.

La importància de passar desapercebut és particularment significativa en el context del proxy jacking, on l'efectivitat d'una xarxa no atribuïble està directament relacionada amb el nombre de nodes que hi ha. Si el recompte de nodes disminueix, el servei es torna vulnerable a ser bloquejat o simplement esdevé ineficaç.