Ketrican

Por CagedTech em Backdoors

O Trojan backdoor Ketrican é uma ferramenta de hacking do arsenal do infame Ke3chang APT (Advanced Persistent Threat). Esse grupo de hackers, também conhecido como APT15, provavelmente é originário da China e tende a perseguir alvos de alto perfil na Europa e na América do Sul. Muitas vezes, as metas são grandes indústrias ou instituições governamentais. O grupo de hackers Ke3chang tende a ficar de fora depois de lançar uma campanha, o que tem sido um sucesso. Isso é feito para minimizar as chances de detecção pelas autoridades.

Atualizações Introduzidas

No entanto, o grupo APT15 está fazendo um retorno em 2019, introduzindo várias atualizações em algumas de suas ferramentas de hackers mais populares. Uma das ferramentas, que teve suas capacidades reforçadas este ano, é o Trojan backdoor Ketrican. Seu mecanismo de autopreservação, que permitiria detectar se está sendo executado em um ambiente de depuração, foi aprimorado. Além disso, essa atualização tornou o backdoor Ketrican muito mais difícil de detectar e também impulsionou algumas de suas capacidades básicas.

Usado para Plantar mais Malware

O Ketrican Trojan altera o Registro do Windows com o objetivo de desativar os recursos de segurança do sistema ou, no mínimo, enfraquecê-los, caso eles não possam ser totalmente desativados. As capacidades deste Trojan de backdoor são bastante limitadas, e é provável que o grupo de hackers Ke3chang o esteja usando para instalar ferramentas de hacking adicionais na máquina infiltrada, principalmente.

Executando Comandos e Obtendo Persistência

Em vez de acionar a ferramenta padrão da Linha de Comando do Windows sempre que precisar executar um comando, esse Trojan de backdoor criaria uma cópia e o colocaria em uma pasta de sistema alternativa. Em seguida, ele usará o executável do prompt de comando dedicado para a inicialização de todos os comandos solicitados pelos criminosos. Em seguida, o backdoor da Ketrican garantirá sua persistência modificando o Registro do Windows para que, sempre que o sistema for reinicializado, ele também seja iniciado automaticamente. O tráfego entre o PC comprometido e o servidor C&C (Comando & Controle) do grupo de hackers Ke3chang é criptografado com uma chave de criptografia privada.

É provável que o Trojan backdoor Ketrican receba mais atualizações no futuro, pois parece estar entre as ferramentas de hackers que o Ke3chang APT mais gosta. Para manter seu sistema protegido contra ameaças como o backdoor da Ketrican, baixe e instale um aplicativo anti-malware legítimo e mantenha-o atualizado.

Tendendo

Mais visto

Carregando...