HabitsRAT

HabitsRAT es una nueva amenaza de malware escrita en el lenguaje de programación Go. Parece que más ciberdelincuentes están comenzando a usar Go específicamente, ya que el malware creado con él parece ser más difícil de detectar por los productos anti-malware. El propósito principal de HabitsRAT, como su nombre indica, es actuar como un troyano de acceso remoto (RAT) que le da al actor de amenazas control sobre el sistema comprometido. Cuando inicialmente los analistas de ciberseguridad descubrieron la amenaza, se estaba implementando en una campaña de ataque dirigida a los servidores de Microsoft Exchange. Desde entonces, sin embargo, se ha lanzado una nueva variante de Windows junto con una variante que es capaz de infectar servidores Linux.

Si bien el diseño de HabitsRAT parece bastante simple, su funcionalidad hace que la amenaza sea bastante efectiva. La estructura del código de las versiones de Windows y Linux comparte una superposición considerable con el código específico del sistema que se encuentra en los archivos 'commandplatform_windows.go', 'keyplatform_windows.go' y 'persistencehandler_windows.go'. Tras la ejecución, el binario de la amenaza se instala en una carpeta de la unidad: ' % SystemDrive% WindowsDefenderMsMpEng.exe ' para Windows y ' $ HOME / .config / polkitd / polkitd ' en Linux. La siguiente acción que realiza HabitsRAT es comprobar si su mecanismo de persistencia ya se ha establecido. De lo contrario, la amenaza procederá a crear una tarea programada 'xml' en Windows mientras que en Linux utiliza un archivo de unidad 'systemd'.

Una clave de cifrado verifica los comandos HabitsRAT

Para asegurarse de que otra parte no se haga cargo de su herramienta amenazante, los ciberdelincuentes han implementado una función de cifrado. HabitsRAt utiliza criptografía pública para cifrar, así como para autenticar los comandos que recibe de los servidores Command-and-Control (C2, C&C) de la campaña de ataque. El par de claves pública-privada se genera utilizando la biblioteca de código abierto Proton Mail.

La clave de autenticación se almacena en el disco. La versión de Linux de HabitsRAT escribe en ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' o ' /usr/share/accounts-daemon/accounts-daemon.so ' dependiendo de si es firmado como usuario normal o no. Las versiones de Windows de la amenaza utilizan ' % SystemDrive% WindowsDefenderMsMpEng.dll ' o ' % APPDATA% Windows NTDefenderMsMpEng.dll ' en su lugar.

Si no se recibe ningún comando, HabitsRAT se duerme durante 10 segundos y luego envía otra solicitud a los servidores C2. Todas las comunicaciones entrantes deben estar firmadas por el actor de amenazas con la clave correcta.

Una nueva versión de Windows de HabitsRAT

Los investigadores de ciberseguridad capturaron una nueva versión de la variante HabitsRAT que apunta a los sistemas Windows. La versión 12 de HabitsRAT parece poseer gran parte de la misma funcionalidad mostrada por su predecesor. La principal diferencia es que se requiere una nueva clave C2, mientras que HabitsRAT ahora admite múltiples direcciones C2. Más específicamente, se han identificado cuatro direcciones diferentes y la amenaza elige una de ellas al azar. La lista de direcciones se almacena en dos archivos: ' % SystemDrive% WindowsDefenderDefender.dll ' y
" % APPDATA% Windows NTDefenderDefender.dll ".