Malware M2RAT
El grupo de amenazas APT37 es conocido por utilizar tácticas y técnicas sofisticadas para realizar operaciones de espionaje cibernético en nombre del gobierno de Corea del Norte. Este grupo es conocido por los alias 'RedEyes' o 'ScarCruft'.
Se ha observado que el grupo APT37 usa un nuevo malware evasivo llamado 'M2RAT' para apuntar a individuos para la recopilación de inteligencia. Este malware utiliza esteganografía, que es la práctica de ocultar información dentro de imágenes digitales, para evitar la detección por parte del software de seguridad. El uso de la esteganografía de APT37 hace que sea más difícil para los analistas de seguridad detectar y analizar su malware, lo que a su vez hace que sea más difícil prevenir o mitigar sus ataques. Los detalles sobre M2RAT y su campaña amenazadora fueron publicados en un informe de los investigadores de seguridad cibernética del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC).
Tabla de contenido
Cadena de infección de M2RAT Malware
Según ASEC, la campaña amenazante APT37 comenzó en enero de 2023, cuando los piratas informáticos lanzaron una serie de ataques cibernéticos que utilizaron archivos adjuntos corruptos para atacar a las víctimas. Cuando se ejecutan los archivos adjuntos armados, explotan una antigua vulnerabilidad EPS (CVE-2017-8291) que se encuentra en el procesador de textos Hangul ampliamente utilizado en Corea del Sur. El exploit activa un shellcode para que se ejecute en la computadora de la víctima, que luego descarga un ejecutable incorrecto almacenado dentro de una imagen JPEG. Este archivo JPG es modificado por los actores de amenazas que utilizan esteganografía, lo que permite que el ejecutable M2RAT ('lskdjfei.exe') se inyecte sigilosamente en 'explorer.exe'. Para la persistencia en el sistema, el malware agrega un nuevo valor ('RyPO') a la clave de registro 'Ejecutar', que ejecuta un script de PowerShell a través de 'cmd.exe'.
Las capacidades amenazantes del malware M2RAT
El malware M2RAT actúa como un troyano de acceso remoto con múltiples características dañinas, como registro de teclas, robo de datos, ejecución de comandos y capturas de pantalla periódicas. Tiene la capacidad de buscar dispositivos portátiles conectados a una computadora con Windows, como teléfonos inteligentes o tabletas, y luego copia cualquier documento o archivo de grabación de voz que se encuentre en el dispositivo a la PC infectada para que los atacantes los revisen.
Todos los datos recopilados se comprimen en un archivo RAR protegido con contraseña antes de ser extraídos, y la copia local de los datos se borra de la memoria para garantizar que no queden rastros. Una característica interesante de M2RAT es que utiliza una sección de memoria compartida para la comunicación con su servidor de comando y control (C2, C&C), la exfiltración de datos y la transferencia directa de datos recopilados al servidor C2, lo que dificulta la seguridad. investigadores para analizar la memoria de los dispositivos infectados.
Al utilizar estas funciones, M2RAT facilita que los atacantes obtengan acceso y den comandos al sistema comprometido, así como recopilar datos del dispositivo. Esto lo convierte en una potente amenaza que todos los usuarios deben conocer.
Video Malware M2RAT
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
