Cargador IDAT
Investigadores de ciberseguridad han descubierto una campaña de ataque, identificada como una amenaza a un troyano ucraniano llamado Remcos RAT, facilitada por un cargador de malware conocido como IDAT Loader. El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), que rastrea al actor de la amenaza como UAC-0184 (TA544), atribuyó el ataque.
El ataque, ejecutado mediante el uso de IDAT Loader, incorpora la esteganografía como técnica. Aunque las técnicas esteganográficas o 'Stego' son ampliamente reconocidas. Las técnicas esteganográficas implican ocultar información dentro de otro medio, como ocultar datos dentro de imágenes, archivos de audio u otro contenido digital, para permitir una comunicación encubierta sin llamar la atención. Es crucial comprender su papel a la hora de evadir las medidas de defensa.
Tabla de contenido
El cargador IDAT facilita la entrega de cargas útiles de malware de próxima etapa
IDAT Loader, que tiene similitudes con otra familia de cargadores llamada Hijack Loader, ha estado implementando activamente varias cargas útiles, incluidas DanaBot , SystemBC y RedLine Stealer, durante varios meses. Este cargador ha sido empleado por un actor de amenazas identificado como TA544 para difundir Remcos RAT y SystemBC a través de ataques de phishing.
La campaña de phishing, revelada inicialmente por CERT-UA a principios de enero de 2024, implica el uso de cebos con temas de guerra para iniciar una cadena de infección. Esta cadena finalmente conduce al despliegue del IDAT Loader, que utiliza un PNG esteganográfico integrado para localizar y extraer Remcos RAT.
Remcos RAT se utiliza a menudo en campañas cibercriminales
REMCOS RAT es un troyano de acceso remoto muy utilizado en actividades de cibercriminalidad y espionaje. Reconocido por su capacidad para tomar el control de las computadoras, REMCOS puede recopilar pulsaciones de teclas, audio, video, capturas de pantalla y datos del sistema, al mismo tiempo que facilita la entrega de cargas útiles de malware adicionales. Normalmente, este malware se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, lo que lleva a la instalación de RAT. En particular, se ha observado que REMCOS se distribuye a través de diversos medios, incluidos cargadores de malware. El malware se ha utilizado de forma maliciosa desde mediados de la década de 2010.
Tras la ejecución exitosa de REMCOS, los actores de amenazas obtienen capacidades integrales de control y vigilancia sobre el sistema objetivo. Esto les permite filtrar clandestinamente datos confidenciales durante un período prolongado, evitando potencialmente la detección. La utilización de información tan sensible, dependiendo del objetivo, conlleva el riesgo de que las víctimas enfrenten chantaje, posible pérdida de empleo si los datos de la empresa se ven comprometidos y el robo de datos de la organización. Estos datos robados podrían luego explotarse para orquestar ataques sofisticados a gran escala, lo que provocaría daños graves y posiblemente irreparables a las organizaciones o los medios de vida de las personas afectadas.
Ucrania sigue siendo blanco de ataques cibercriminales por parte de grupos de hackers alineados con Rusia
CERT-UA también ha advertido sobre un ciberataque dirigido a infectar los sistemas informáticos utilizados por las Fuerzas Armadas de Ucrania con la puerta trasera Cookbox.
Según CERT-UA, un individuo no identificado distribuyó un documento XLS llamado '1_ф_5.39-2024.xlsm' a través del mensajero Signal entre varios militares, afirmando tener problemas con la formación de informes. Dicho archivo contenía un script VBA adicional que activaba la descarga y ejecución de un script de PowerShell llamado 'mob2002.data'.
El script de PowerShell descargado de GitHub realiza algunos cambios en el registro del sistema operativo. Más específicamente, coloca una carga útil codificada en base64 en 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', que finalmente ejecuta el malware Cookbox. Cookbox es un script de PowerShell que implementa funciones para descargar y ejecutar cmdlets de PowerShell.
Los servicios DNS dinámicos (como gotdns.ch, myftp.biz) y Cloudflare Workers se utilizan para el funcionamiento de los servidores de comando y control. La actividad descrita, rastreada como UAC-0149, ha estado en curso desde al menos el otoño de 2023, según los datos revelados por los investigadores.
