Ferramentas de Código Aberto e Serviços na Nuvem no Centro da Campanha Destrutiva do MalwareRAT no Telegram
Pesquisadores da Netskope recentemente encontraram uma campanha distribuindo uma variedade de malware chamada TelegramRAT. Como a parte 'RAT' do nome sugere, o TelegramRAT é um Trojan de Acesso Remoto (RAT) e foi projetado para executar algumas tarefas maliciosas.
A lista inclui a execução de comandos do shell, congelamento do teclado, registro de chaves, execução, cópia, movimentação e exclusão de arquivos, abertura de um servidor proxy, gravação de áudio através do microfone, captura de tela, coleta de informações sobre o PC, alteração do papel de parede, alteração do papel de parede, desligamento e reinicialização. o computador, etc. É uma lista longa, mas deve-se dizer que a maioria dos RATs por aí também tem vários talentos. Então, o que há de especial no TelegramRAT?
Os hackers estão usando o CVE-2017-11882, uma vulnerabilidade do MS Word que existe há 17 anos, mas só foi descoberta no mês passado. Ele permite a execução remota de código através do Equation Editor da Microsoft (o componente que permite aos usuários do Office exibir e editar equações matemáticas) e, embora o Patch Tuesday de novembro tenha corrigido a falha de segurança, as campanhas observadas nas últimas semanas mostram que não há falta de software desatualizado. ainda pode ser explorado.
Para a campanha do TelegramRAT, os chapéus pretos incorporaram um objeto OLE dentro de um documento do Word chamado Adventurer LOG.doc. Não está claro se o ataque foi direcionado e o método de distribuição também não é mencionado no blog da Netskope. No entanto, sabemos o que o documento malicioso faz.
O objeto OLE incorporado executa um script do PowerShell que baixa e executa a carga útil de um link bit.ly. Quando estendido, o URL reduzido aponta para um local do Dropbox (que foi retirado depois que o Netskope entrou em contato com o provedor de armazenamento em nuvem). Essa não é a primeira vez que os hackers usam o bit.ly ou o Dropbox em suas campanhas, e o fato de ainda estarem empregando-os mostra que essas técnicas contribuem para um método eficaz de distribuição de malware.
A carga transferida por download se grava em % AppData%\MSOffice e também coloca um atalho de si na pasta Inicialização, dentro do Menu Iniciar. Isso garante que o TelegramRAT seja executado sempre que o computador for inicializado.
Após dissecá-lo, os pesquisadores descobriram que o TelegramRAT é praticamente uma cópia carbono do RAT-via-Telegram. O RAT-via-Telegram é um projeto que foi carregado no GitHub há vários meses. É basicamente uma ferramenta de acesso remoto que não recebe comandos de um servidor C&C. Em vez disso, os operadores do RAT criam um bot simples que usa o aplicativo de mensagens Telegram e se comunica com o software através dele. As vantagens, disse o autor do RAT-via-Telegram, são uma maneira simples e segura de enviar comandos, graças à criptografia de ponta a ponta do Telegram.
Como você poderia esperar, o autor (o repositório original foi retirado, mas há muitas cópias) também apontou que o RAT deve ser usado apenas para fins educacionais, mas, bem, você pode ver o que aconteceu.
Então, para recapitular, a turma do TelegramRAT basicamente pegou uma ferramenta de código aberto, não fez modificações e usou serviços gratuitos e públicos disponíveis para dificultar a vida dos usuários. Eles gastaram tempo e esforço mínimos na criação de uma infraestrutura de C&C e exploraram uma vulnerabilidade conhecida que as vítimas deveriam ter corrigido. Eles não se parecem com o grupo mais sofisticado de cibercriminosos. Dito isto, o RAT deles ainda é perigoso.
A carga útil pesa 16 MB porque a ferramenta original foi escrita em Python. Por padrão, o código Python não é executado no Windows, o que trouxe a necessidade de um intérprete Python incorporado na carga útil. Como resultado, o arquivo é extraordinariamente grande para uma amostra de malware e alguns scanners podem falhar em analisá-lo adequadamente. Além disso, é improvável que o tráfego para o local que hospeda a carga útil seja sinalizado como suspeito porque o Dropbox é um serviço legítimo usado por milhões em todo o mundo.
Houve um tempo em que lançar um ataque cibernético envolveu muito mais do que registrar algumas contas gratuitas e copiar/colar algum código de código aberto. Infelizmente, os tempos mudaram.