HabitsRAT

HabitsRAT è una nuova minaccia malware scritta nel linguaggio di programmazione Go. Sembra che sempre più criminali informatici stiano iniziando a utilizzare Go in modo specifico, poiché il malware creato con esso sembra essere più difficile da rilevare da parte dei prodotti anti-malware. Lo scopo principale di HabitsRAT, come suggerisce il nome, è quello di agire come un Trojan di accesso remoto (RAT) che fornisce all'attore della minaccia il controllo sul sistema compromesso. Quando la minaccia è stata inizialmente scoperta dagli analisti della sicurezza informatica, veniva implementata in una campagna di attacco contro i server Microsoft Exchange. Da allora, tuttavia, è stata rilasciata una nuova variante di Windows insieme a una variante in grado di infettare i server Linux.

Anche se il design di HabitsRAT sembra abbastanza semplice, la sua funzionalità rende la minaccia abbastanza efficace. La struttura del codice delle versioni Windows e Linux condivide una notevole sovrapposizione con il codice specifico del sistema contenuto nei file "commandplatform_windows.go", "keyplatform_windows.go" e "persistencehandler_windows.go". Al momento dell'esecuzione, il file binario della minaccia si installa in una cartella sull'unità: " % SystemDrive% WindowsDefenderMsMpEng.exe " per Windows e " $ HOME / .config / polkitd / polkitd " su Linux. La prossima azione eseguita da HabitsRAT è controllare se il suo meccanismo di persistenza è già stato stabilito. In caso contrario, la minaccia procederà alla creazione di un'attività pianificata "xml" su Windows mentre su Linux utilizza un file unit "systemd".

Una chiave di crittografia verifica i comandi HabitsRAT

Per assicurarsi che il loro strumento minaccioso non venga rilevato da un'altra parte, i criminali informatici hanno implementato una funzionalità di crittografia. HabitsRAt utilizza la crittografia pubblica per crittografare e autenticare i comandi che riceve dai server Command-and-Control (C2, C&C) della campagna di attacco. La coppia di chiavi pubblica-privata viene generata utilizzando la libreria open source Proton Mail.

La chiave di autenticazione è archiviata sul disco. La versione Linux di HabitsRAT scrive in " $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf " o " /usr/share/accounts-daemon/accounts-daemon.so " a seconda che sia firmato o meno come utente normale. Le versioni Windows della minaccia utilizzano invece " % SystemDrive% WindowsDefenderMsMpEng.dll " o " % APPDATA% Windows NTDefenderMsMpEng.dll ".

Se non viene ricevuto alcun comando, HabitsRAT rimane inattivo per 10 secondi e quindi invia un'altra richiesta ai server C2. Tutte le comunicazioni in entrata devono essere firmate dall'attore della minaccia con la chiave giusta.

Una nuova versione per Windows di HabitsRAT

I ricercatori di cybersecurity hanno scoperto una nuova versione della variante HabitsRAT che prende di mira i sistemi Windows. La versione 12 di HabitsRAT sembra possedere gran parte delle stesse funzionalità visualizzate dal suo predecessore. La differenza principale è che è richiesta una nuova chiave C2 mentre HabitsRAT ora supporta più indirizzi C2. Più specificamente, sono stati identificati quattro diversi indirizzi con la minaccia che ne sceglie uno a caso. L'elenco degli indirizzi è archiviato in due file: " % SystemDrive% WindowsDefenderDefender.dll " e
" % APPDATA% Windows NTDefenderDefender.dll ."