Malware LabRat
Un paquete de malware insidioso que es excepcionalmente difícil de detectar ha generado preocupación debido a su aparente capacidad para eludir numerosas medidas defensivas y protocolos de seguridad. Una investigación en profundidad realizada por expertos ha revelado el malware LabRat, que exhibe un notable nivel de sofisticación en sus estrategias para permanecer oculto y operativo sin ser detectado.
A diferencia de la mayoría de ciberataques similares que priorizan la velocidad sobre la sutileza, la implementación del malware LabRat demuestra un alto grado de sofisticación. Este actor de amenazas ha diseñado meticulosamente su operación con especial atención al sigilo, un factor que muchos atacantes tienden a descuidar. Estos esfuerzos concienzudos por parte del actor de la amenaza están destinados a aumentar significativamente los desafíos que enfrentan los defensores para identificar y contrarrestar esta amenaza.
El malware LabRat lleva a cabo acciones de criptografía y proxyjacking
El análisis del malware LabRat muestra que la amenaza es un ejemplo relativamente típico de una herramienta de cryptojacking y proxy jacking. En una campaña de criptojacking, los atacantes utilizan de forma encubierta la computadora de la víctima para extraer criptomonedas, generando ganancias al explotar los recursos de la víctima. Por otro lado, una campaña de secuestro de proxy implica incorporar silenciosamente la computadora de la víctima a una red de intercambio de ancho de banda de igual a igual, lo que beneficia al atacante al expandir sus recursos.
El método de ataque se basa en una vulnerabilidad reconocida dentro de los servidores de GitLab (CVE-2021-2205), explotándola para lograr la ejecución remota de código e introducir la carga útil del malware en la máquina comprometida.
Sin embargo, lo que distingue a esta campaña de ataque en particular es la notable dedicación mostrada por los creadores de malware al ocultar su código. Además, la adopción del servicio TryCloudFlare para enrutar el tráfico agrega una capa adicional, enmascarando efectivamente las identidades de los atacantes de los sistemas que han comprometido.
La operación de ataque LabRat muestra un enfoque significativo en el sigilo
El malware LabRat está reforzado con un cifrado robusto y sofisticadas técnicas anti-ingeniería inversa, lo que hace que su detección sea una tarea extremadamente desafiante. Los binarios de persistencia, codificados en Go, mostraron una notable capacidad para pasar desapercibidos, al igual que los componentes criptomineros empleados en el ataque.
Los investigadores observaron que el grupo LabRat había mostrado un nivel excepcional de compromiso en sus esfuerzos por oscurecer el código, permitiendo que la amenazante carga útil operara de forma encubierta. De hecho, los actores de amenazas detrás de esta campaña parecen poner mayor énfasis en mantener el sigilo en comparación con muchos otros, ya que reconocen que el tiempo corresponde directamente a una mayor ganancia financiera. Cuanto más tiempo puedan mantener su acceso mientras ejecutan el software de proxy y criptominería, mayores serán sus retornos monetarios.
La importancia de pasar desapercibido es particularmente significativa en el contexto del proxy jacking, donde la efectividad de una red no atribuible está directamente relacionada con la cantidad de nodos que contiene. Si el número de nodos disminuye, el servicio se vuelve vulnerable a ser bloqueado o simplemente volverse ineficaz.
