RATICAT

Els experts en programari maliciós han detectat un nou grup de pirateria informàtica que sembla estar especialitzat en RAT (troians d'accés remot). Per això, el grup de ciberdelinqüència ha rebut el nom de RATicate. Tanmateix, el grup de pirateria RATicate utilitza altres amenaces, com ara les portes del darrere i els robatoris d'informació. El grup RATicate va sorgir per primera vegada l'any 2019 i des de llavors ha dut a terme diversos atacs d'alt perfil. El grup RATicate es basa en una única infraestructura per a tots els seus atacs, independentment de les eines de pirateria desplegades. Això va permetre als analistes de programari maliciós determinar que entre novembre de 2019 i gener de 2020, el grup de pirateria RATicate ha dut a terme cinc operacions RAT a gran escala.

La majoria de les campanyes del grup RATicate es concentren a Corea del Sud, Europa i Orient Mitjà. Els objectius del grup RATicate són empreses que operen en diferents indústries. Després de l'operació a gran escala que va tenir lloc el gener de 2020, el grup RATicate va callar una estona fins que va tornar al punt de mira amb una operació temàtica del Coronavirus. La seva darrera campanya es va utilitzar per oferir diferents RAT mitjançant tècniques de pesca. Nombrosos delinqüents cibernètics estan utilitzant contingut temàtic de la COVID-19 per pescar usuaris, així que tingueu molta precaució si rebeu un correu electrònic sobre la pandèmia. És probable que es tracti d'un esquema o d'un altre contingut amenaçador, amb el qual no hauríeu d'interaccionar sota cap circumstància.

Entre els moviments de signatura del grup de pirateria RATicate hi ha l'ús d'instal·ladors NSIS. La utilitat NSIS és una eina legítima que els desenvolupadors utilitzen per crear instal·ladors per a diferents aplicacions. El fet que la utilitat NSIS tingui una estructura modular permet als atacants modificar la seva funcionalitat afegint complements i funcions addicionals. És probable que el grup de pirateria RATicate utilitzi aquesta funcionalitat per ampliar les funcions dels instal·ladors i permetre'ls:

• Mata els processos actius.
• Descomprimir fitxers.
• Carregueu fitxers DLL (Dynamic Link Libraries) danyats.
• Executar ordres.

La majoria de les campanyes del grup RATicate implementen eines de pirateria conegudes com Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook , etc. Atès que els ciberdelinqüents RATicate estan utilitzant eines de pirateria populars com a càrregues útils finals, la solució anti-malware actual serà capaç de protegir el vostre sistema.