MysterySnail RAT

Il MysterySnail RAT è una minaccia che secondo le scoperte fatte dai ricercatori di infosec, è collegata al gruppo cinese APT (Advanced Persistent Threat) IronHusky. La minaccia è descritta come un Trojan remoto di tipo shell ed è insolitamente grande a 8,29 MB. Ci sono diversi motivi per le dimensioni anormali. Innanzitutto, MysterySnail RAT è compilato staticamente con la libreria OpenSSL e ha codice inutilizzato da quella libreria. In secondo luogo, contiene due grandi funzioni che non hanno alcuno scopo pratico oltre a sprecare cicli di clock del processore.

La probabile ragione per l'inclusione di grandi blocchi di codice superfluo è aumentare le capacità di anti-rilevamento e anti-emulazione della minaccia. Questa conclusione è supportata anche dall'inclusione di varie logiche ridondanti, nonché più funzioni esportate mentre solo una esegue le attività effettive.

Dettagli di MysterySnail RAT

Nel complesso, il MysterySnail RAT non è tra le minacce più sofisticate di questo tipo.Tuttavia, compensa con un elenco ampliato di funzionalità (la minaccia può riconoscere un totale di 20 comandi diversi) come rilevare eventuali unità disco inserite o essere in grado di agire come proxy. Dopo aver ricevuto il comando appropriato dal suo server Command-and-Control (C&C, C2), la minaccia è in grado di manipolare il file system del sistema compromesso creando, leggendo, caricando o eliminando i file scelti. Il MysterySnail RAT può anche avviare o terminare i processi. Inoltre, può aprire una finestra del prompt dei comandi che consente agli aggressori di eseguire comandi arbitrari.

Una delle prime azioni eseguite da MysterySnail RAT è raccogliere dati sul sistema violato. Il malware raccoglie dettagli, come il nome del computer, il nome del prodotto Windows, l'indirizzo IP, il nome utente e altro. Tutte le informazioni raccolte vengono quindi caricate sul server C2. Per quanto riguarda l'indirizzo del server, i campioni di minaccia analizzati avevano due URL codificati memorizzati in testo normale che fungevano da esche. L'URL reale è decodificato da un singolo byte xor che fornisce l'indirizzo 'http[.]ddspadus[.]com'.