CRAT

O CRAT é um poderoso RAT (Trojan de Acesso Remoto) que foi vinculado às atividades de uma Ameaça Persistente Avançada chamada Grupo Lazarus. Duas versões diferentes da ameaça foram observadas como parte das campanhas de ataque e mostram claramente que o CRAT está sendo desenvolvido e evoluindo ativamente. A última variante adotou uma abordagem mais modular com vários recursos RAT movidos para separar módulos corrompidos em vez de todos serem agrupados em uma única carga útil. Além disso, a gama de funcionalidades backdoor do CRAT foi expandida através da adição de plug-ins de malware selecionáveis responsáveis por fazer capturas de tela, keylogging e monitoramento da área de transferência. Mais importante ainda, o CRAT pode implantar um módulo de ransomware que entrega a ameaça do Hansom no computador comprometido. Os hackers podem usar o ransomware como uma forma de extorquir fundos da vítima depois de já terem exfiltrado todos os dados que desejavam ou de interromper fortemente o sistema de endpoint.

Várias Técnicas de Ofuscação Dificultam a Detecção do CRAT

O aspecto mais importante de qualquer ameaça RAT é sua capacidade de se infiltrar nos sistemas visados, e o CRAT tem várias contramedidas anti-detecção e anti-análise implementadas. Primeiro, os hackers se afastaram da prática comum de usar um compactador que pode ser detectado por técnicas como análise de entropia, análises de API de importação etc. e, em vez disso, adotaram a ofuscação seletiva do código do malware. Em particular, o CRAT ofusca suas strings usando uma chave XOR de quatro bytes seguida pela codificação base64. Ele também emprega resolução de API dinâmica e patch de código em tempo de execução. Os nomes das DLLs do RAT são projetados para imitar aqueles da biblioteca de um aplicativo inocente.

O CRAT também realiza uma série de digitalizações projetadas para verificar se a ameaça está sendo executada no endpoint desejado e não em um ambiente de análise. Ele compara endereços MAC, processos, adaptadores de rede e nomes de ferramentas de análise com uma lista de bloqueio codificada e, ao descobrir uma correspondência, encerra sua execução. O CRAT realiza uma verificação para todas as tentativas de depuração, inclusive por meio de CheckRemoteDebuggerPresent.

Capacidades de RAT de Linha de Base Aumentadas com Plug-Ins Modulares

Após uma infiltração bem-sucedida, o CRAT pode iniciar uma impressionante variedade de recursos de backdoor que só foram expandidos na versão mais recente. Antes do RAT começar a agir, porém, ele espera receber o comando apropriado da infraestrutura de Comando e Controle (C2, C&C) na forma de comunicação JSON sobre HTTP. A adoção de uma arquitetura modular permite que os hackers personalizem ainda mais suas atividades de acordo com seus objetivos ameaçadores, baixando apenas plug-ins de malware selecionados e injetando-os em processos específicos executados no endpoint comprometido.

O CRAT pode coletar várias informações do sistema, como endereço MAC, firewall instalado e produtos antivírus, nomes de domínio, verificar se há privilégios administrativos, coletar informações de tamanho para todos os arquivos e pastas com exceção de % windir% e da lixeira, ler, gravar e exfiltrar o conteúdo do arquivo. Os invasores podem executar comandos remotos e configurar um shell de comando reverso. CRAT viola as credenciais do usuário, como nomes de usuário e senhas armazenadas no Google Chrome. A ameaça vem com um submódulo do Explorador de Arquivos personalizado.

No entanto, a maior mudança em comparação com as versões anteriores é a capacidade do CRAT de baixar e instalar plug-ins corrompidos de acordo com as instruções recebidas pelo C2. O mais peculiar é o plugin ransomware que carrega a ameaça do Hansom. Normalmente, o ransomware criptografa os arquivos no sistema infectado com um algoritmo indecifrável, mas o Hansom tem uma abordagem diferente. Quando iniciado, ele bloqueia cada arquivo em arquivos individuais, aos quais é atribuída uma senha diferente gerada aleatoriamente. As senhas são criptografadas com uma chave pública incorporada posteriormente. O Hansom pode afetar um total de 110 tipos de arquivos diferentes. Antes de iniciar o processo de criptografia, ele passa por vários procedimentos projetados para desabilitar as notificações do Windows Defender, especificamente o processo do Windows Defender 'MsMpEng.exe', desabilitar o gerenciador de tarefas e iniciar um mecanismo de persistência por meio do registro e regsvr32.