FlawedGrace RAT

FlawedGrace é o nome de um RAT (Trojan de Acesso Remoto) totalmente desenvolvido, que faz parte do arsenal ameaçador da gangue de cibercriminosos com motivação financeira rastreada como TA505 (ou Hive0065). O grupo está ativo desde pelo menos 2014 e está entre os mais prolíficos, com várias campanhas de ataque atribuídas a ele. Outra característica distintiva do TA505 é sua propensão para implementar mudanças frequentes nas suas TTPs (táticas, técnicas e procedimentos), bem como nos tipos de ameaças de malware. O grupo foi observado realizando campanhas massivas de spam por um e-mail distribuindo o Trojan bancário Dridex, antes de passar a distribuir as ameaças Locky e Jaff Ransomware, o Trojan bancário TrickBot e muito mais.

Detalhes sobre o FlawedGrace

A primeira vez que o RAT FlawedGrace foi detectado pelos pesquisadores de infosec foi em novembro de 2017. Ele é um RAT poderoso escrito na linguagem de programação C ++. Ele é capaz de reconhecer vários comandos de entrada de um servidor de Comando e Controle enviados por meio de um protocolo binário personalizado usando a porta 443. A ameaça pode ser instruída a buscar módulos corrompidos adicionais e, em seguida, carregá-los e executá-los. Ele também pode baixar e exfiltrar arquivos escolhidos, coletar informações confidenciais do usuário, tais como senhas e muito mais.

Nas últimas operações de ataque realizadas pelo TA505, uma versão atualizada do FlawedGrace RAT foi implantada. Embora a análise completa das mudanças ainda esteja em andamento, até agora os pesquisadores observaram que a ameaça agora emprega strings criptografadas e chamadas de API ofuscadas. Outra diferença foi encontrada na maneira como a ameaça armazenava a sua configuração. A configuração inicial ou padrão é armazenada no sistema como um recurso criptografado. Posteriormente, ele é dividido em dois - uma instância de configuração atual colocada em uma região de memória mapeada e um mecanismo de persistência injetado no Registro do sistema.