FlawedGrace RAT

FlawedGrace es el nombre de una RAT (Amenaza de acceso remoto) en toda regla que forma parte del arsenal amenazante de la pandilla de ciberdelincuentes con motivaciones financieras que se rastrea como TA505 (o Hive0065). El grupo ha estado activo desde al menos 2014 y se encuentra entre los más prolíficos con múltiples campañas de ataque que se le atribuyen. Otra característica distintiva de TA505 es su propensión a implementar cambios frecuentes tanto en sus TTP (tácticas, técnicas y procedimientos) como en los tipos de amenazas de malware. Se ha observado que el grupo lleva a cabo campañas masivas de correo no deseado entregando el troyano bancario Dridex, antes de pasar a distribuir las amenazas Locky y Jaff Ransomware, el troyano bancario TrickBot y más.

Detalles de FlawedGrace

La primera vez que los investigadores de infosec detectaron FlawedGrace RAT fue en noviembre de 2017. Es una poderosa RAT escrita en el lenguaje de programación C ++. Es capaz de reconocer múltiples comandos entrantes de un servidor de Comando y Control enviados a través de un protocolo binario personalizado usando el puerto 443. Se puede indicar a la amenaza que busque módulos corruptos adicionales y luego los cargue y ejecute. También puede descargar y exfiltrar archivos seleccionados, recopilar información confidencial del usuario, como contraseñas y más.

En las últimas operaciones de ataque llevadas a cabo por TA505, se implementó una versión actualizada de FlawedGrace RAT. Si bien el análisis completo de los cambios aún está en curso, hasta ahora los investigadores han observado que la amenaza ahora emplea cadenas encriptadas y llamadas API ofuscadas. Se encontró otra diferencia en la forma en que la amenaza almacenaba su configuración. La configuración inicial o predeterminada se almacena en el sistema como un recurso cifrado. Luego, se divide en dos: una instancia de configuración actual ubicada en una región de memoria asignada y un mecanismo de persistencia inyectado en el Registro del sistema.