MgBot

MgBot é o nome de um desagradável RAT (Trojan de Acesso Remoto) que parece ser o produto de um grupo de hackers chinês. De acordo com analistas de malware, a ameaça MgBot parece ter sido criada por um APT (Ameaça Persistente Avançada), que aponta claramente para cibercriminosos experientes e qualificados. O MgBot RAT também é conhecido sob os pseudônimos Mgmbot e Blame.

Depois de estudar esse RAT, os especialistas em segurança encontraram várias seqüências escritas em chinês, o que os levou a acreditar que os autores dessa ameaça eram originários da China. Os cibercriminosos por trás do MgBot RAT parecem ter começado a espalhar esse Trojan ativamente no início de julho de 2020. Os autores da ameaça usavam e-mails de spam direcionados a usuários localizados na Índia e em Hong Kong. O Trojan MgBot não é uma ameaça que visa usuários comuns. Os criadores do MgBot RAT parecem perseguir apenas figuras políticas e órgãos governamentais.

Nas primeiras campanhas, o MgBot RAT foi entregue juntamente com uma variante da infame estrutura Cobalt Strike. No entanto, nas últimas campanhas que distribuíram o Trojan MgBot, a ameaça foi entregue por meio de um documento falso e com macros. Depois que a ameaça MgBot conseguir se infiltrar no alvo, ela realizará várias verificações avançadas para determinar se está sendo executada em um ambiente sandbox ou em um sistema regular. O MgBot RAT pode determinar isso verificando a presença de:

• Software usado para depuração de malware e análise de ameaças.
• Processos, entradas do Registro e drivers associados aos ambientes sandbox.

O Trojan MgBot também procura por vários módulos de segurança associados a utilitários anti-malware. Se essa ameaça detectar algum dos componentes listados, interromperá sua atividade.

Se o MgBot RAT não encontrar nenhum software ou módulo que possa impedir sua execução conforme o planejado, ele iniciará o ataque mascarando-se como um driver de áudio Realtek legítimo. Dessa forma, a atividade do MgBot RAT pode permanecer despercebida pelo usuário. Quando o Trojan MgBot estiver em execução no sistema comprometido, permitirá que seus operadores:

• Executem comandos remotos.
• Gerenciem diretórios e arquivos.
• Gerenem serviços e processos ativos.
• Executem um módulo de keylogging desenvolvido para coletar as teclas digitadas pela vítima.
• Façam capturas de tela das janelas ativas do usuário e da área de trabalho.

O MgBot RAT não é uma ameaça que os usuários devam subestimar. Esse Trojan desagradável permite que seus operadores realizem operações de reconhecimento, o que pode ser bastante ameaçador, tendo em vista que ele tem como alvo políticos de alto escalão e várias organizações governamentais.