Crutch Malware

Crutch Malware es una herramienta de malware de puerta trasera descubierta recientemente que ha sido parte de las operaciones del infame grupo Turla APT (Advanced Persistent Threat). Según los investigadores de infosec que analizaron la amenaza, Crutch ha estado en explotación desde 2015 hasta al menos principios de 2020. La amenaza ha sido descubierta acechando dentro de los sistemas informáticos de un Ministerio de Asuntos Exteriores de un país que forma parte de la Unión Europea. Exactamente como la mayoría de las herramientas de malware en el arsenal de Turla, Crutch parece ser una amenaza de malware hecha a medida que se implementa solo contra objetivos seleccionados.

Aunque no se ha probado, Crutch presenta los signos de una amenaza de malware posterior al compromiso. Esto significa que se entrega al objetivo después de que el vector de compromiso inicial se haya establecido con éxito. Un escenario potencial que se ha observado es el despliegue de Crutch meses después de que el sistema objetivo se infectara con un implante de primera etapa llamado SKipper. Otro método implica el uso del marco PowerShell Empire.

El objetivo principal de Crutch Malware es llevar a cabo actividades de espionaje recolectando documentos confidenciales de las máquinas infectadas, comprimiéndolos y exfiltrando los archivos a Turla. Durante su ciclo de vida, Crutch Malware vio sus capacidades y rutinas operativas pasar por cambios severos con varias versiones diferentes de la amenaza creada por los piratas informáticos. Por ejemplo, en las versiones iniciales, Crutch tenía que recibir comandos específicos de los operativos de Turla antes de ejecutar cualquiera de sus actividades amenazantes. La persistencia se logró mediante el secuestro de DLL en Chrome, Firefox o OneDrive. Durante este período, Cruch incluyó un segundo binario que era responsable de monitorear cualquier medio extraíble en busca de tipos de archivo que representaran un interés particular para los piratas informáticos, incluidos documentos de MS Word, PDF, RTF, etc.

En la versión 4 de la amenaza, o lo que los investigadores creen que es la cuarta versión, Crutch perdió su capacidad para ejecutar cualquier comando de puerta trasera. En cambio, las actividades de la amenaza se automatizaron por completo. Ahora podría extraer de forma independiente archivos de interés que se encuentran en unidades locales y extraíbles mediante la explotación de la versión de Windows de la utilidad Wget.

Un aspecto que siempre ha permanecido como parte del Crutch Malware es el destino de los archivos robados. A través de las diferentes versiones, todos los datos recolectados se han entregado a cuentas de almacenamiento de Dropbox bajo el control de los piratas informáticos de Turla. El uso de servicios legítimos, Dropbox, en este caso, ayuda a los piratas informáticos a evitar la detección más fácilmente al combinar el tráfico anormal creado por sus herramientas entre las actividades habituales de la red de la víctima.