TSCookieRAT

O TSCookieRAT é uma ameaça de acesso remoto que foi usada contra alvos japoneses pelo grupo de hackers com a designação BlackTech. A operação ameaçadora usava e-mails de isca para enganar os usuários visados, fazendo-os clicar em um URL que levava à ameaça. Deve-se notar que TSCookieRAT também foi rastreado sob o nome PLEAD inicialmente, mas uma análise posterior revelou certas distinções entre os dois.

Os e-mails de isca empregados na campanha supostamente vinham do Ministério da Educação, Cultura, Esportes, Ciência e Tecnologia do Japão. A URL fornecida nos e-mails baixa um arquivo DLL criptografado que contém o componente carregador do TSCookieRAT. O arquivo DLL é então carregado e executado na memória. As funcionalidades prejudiciais da ameaça são então expandidas nas fases posteriores do ataque, buscando e executando módulos adicionais do servidor de Comando e Controle (C2, C&C) da campanha. Todos os componentes de estágio avançado também são executados na memória.

Quando o TSCookieRAT está pronto para iniciar sua operação ameaçadora, ele envia uma solicitação HTTP GET para o C&C e, em seguida, aguarda os comandos de entrada. A ameaça permite que o criminoso estabeleça um nível significativo de controle sobre o sistema infectado. Os hackers podem executar comandos de shell arbitrários, exfiltrar dados, incluindo informações da unidade e do sistema, manipular o sistema de arquivos e coletar informações confidenciais, como senhas dos navegadores da Web mais populares - Chrome, Firefox, Edge, Internet Explorer e o cliente de e-mail Outlook. Os resultados coletados em resposta aos comandos recebidos são carregados no mesmo formato da primeira solicitação HTTP POST.

As campanhas de ataque do BlackTech contra alvos japoneses podem continuar e podem envolver diferentes ameaças de malware, portanto, as organizações devem manter sua segurança cibernética em um nível satisfatório e implementar quaisquer correções de segurança de software no devido tempo.