CRAT
CRAT es un poderoso RAT (troyano de acceso remoto) que se ha vinculado a las actividades de una amenaza persistente avanzada llamada Grupo Lazarus. Se han observado dos versiones diferentes de la amenaza como parte de las campañas de ataque, y muestran claramente que CRAT se está desarrollando y evolucionando activamente. La última variante ha adoptado un enfoque más modular con varias capacidades de RAT trasladadas a módulos corruptos separados en lugar de agruparse en una sola carga útil. Además, la gama de funcionalidades de puerta trasera de CRAT se ha ampliado mediante la adición de complementos de malware seleccionables responsables de tomar capturas de pantalla, keylogging y monitoreo del portapapeles. Más importante aún, CRAT puede implementar un módulo de ransomware que ofrece la amenaza Hansom en la computadora comprometida. Los piratas informáticos pueden usar el ransomware como una forma de extorsionar a la víctima para obtener fondos después de haber exfiltrado todos los datos que deseaban o de interrumpir considerablemente el sistema de punto final.
Múltiples técnicas de ofuscación dificultan la detección de CRAT
El aspecto más importante de cualquier amenaza RAT es su capacidad para infiltrarse en los sistemas objetivo, y CRAT tiene implementadas varias contramedidas anti-detección y anti-análisis. En primer lugar, los piratas informáticos se han alejado de la práctica común de utilizar un empaquetador que puede detectarse mediante técnicas como el análisis de entropía, los análisis de API de importación, etc. y, en cambio, han adoptado la ofuscación selectiva del código del malware. En particular, CRAT ofusca sus cadenas utilizando una clave XOR de cuatro bytes seguida de codificación base64. También emplea resolución de API dinámica y parcheo de código en tiempo de ejecución. Los nombres de las DLL de RAT están diseñados para imitar los de la biblioteca de una aplicación inocente.
CRAT también lleva a cabo una serie de comprobaciones diseñadas para verificar que la amenaza se esté ejecutando en el punto final deseado y no en un entorno de análisis. Compara direcciones MAC, procesos, adaptadores de red y nombres de herramientas de análisis con una lista de bloqueo codificada y, al descubrir una coincidencia, finaliza su ejecución. CRAT realiza una verificación de cualquier intento de depuración, incluso a través de CheckRemoteDebuggerPresent.
Capacidades básicas de RAT aumentadas con complementos modulares
Tras una infiltración exitosa, CRAT puede iniciar una impresionante variedad de capacidades de puerta trasera que solo se han expandido en la versión más reciente. Sin embargo, antes de que la RAT comience a actuar, espera recibir el comando apropiado de la infraestructura de Comando y Control (C2, C&C) en forma de comunicación JSON a través de HTTP. La adopción de una arquitectura modular permite a los piratas informáticos personalizar aún más sus actividades de acuerdo con sus objetivos amenazadores al descargar solo complementos de malware seleccionados e inyectarlos en procesos específicos que se ejecutan en el punto final comprometido.
CRAT puede recopilar diversa información del sistema, como la dirección MAC, firewall instalado y productos antivirus, nombres de dominio, verificar privilegios administrativos, recopilar información sobre el tamaño de todos los archivos y carpetas con la excepción de % windir% y la papelera de reciclaje, leer, escribir y exfiltrar el contenido del archivo. Los atacantes pueden ejecutar comandos remotos y configurar un shell de comando inverso. CRAT viola las credenciales de usuario, como nombres de usuario y contraseñas almacenadas en Google Chrome. La amenaza viene con un submódulo del Explorador de archivos personalizado.
Sin embargo, el mayor cambio en comparación con las versiones anteriores es la capacidad de CRAT para descargar e instalar complementos corruptos de acuerdo con las instrucciones recibidas por el C2. El más peculiar es el complemento ransomware que lleva la amenaza Hansom. Normalmente, el ransomware cifra los archivos del sistema infectado con un algoritmo indescifrable, pero Hansom tiene un enfoque diferente. Cuando se inicia, procede a bloquear cada archivo en archivos individuales a los que luego se les asigna una contraseña diferente generada aleatoriamente. Posteriormente, las contraseñas se cifran con una clave pública incorporada. Hansom puede afectar a un total de 110 tipos de archivos diferentes. Antes de iniciar el proceso de cifrado, pasa por varios procedimientos diseñados para deshabilitar las notificaciones de Windows Defender, el proceso de Windows Defender 'MsMpEng.exe' específicamente, deshabilita el administrador de tareas e inicia un mecanismo de persistencia a través del registro y regsvr32.
