MoDi RAT

Expertos en ciberseguridad han detectado una nueva campaña de ataque que ofrece el troyano de acceso remoto MoDi RAT. La amenaza posee todas las funcionalidades amenazantes que se esperan de una RAT. MoDi RAT da a los atacantes acceso remoto a la computadora infectada. Esto permite a los piratas informáticos ejecutar comandos arbitrarios, manipular el sistema de archivos, exfiltrar información de interés recopilada del dispositivo comprometido o entregar cargas útiles amenazantes adicionales.

MoDi RAT también puede intentar conectarse a servidores de comando y control (C2, C&C) adicionales, lo que significa que cualquier archivo o información privada que se haya recopilado se puede transmitir y cargar en más de un servidor externo. Los datos recopilados podrían incluir información detallada del sistema y del host, credenciales de inicio de sesión confidenciales, así como detalles financieros.

Sin embargo, los aspectos más interesantes descubiertos por los investigadores de infosec no estaban relacionados con la amenaza en sí, sino con el método a través del cual se entregó MoDi RAT.

Una enrevesada cadena de ataque deja caer MoDi RAT

Antes de que la carga útil final que consiste en MoDi RAT se establezca en el sistema comprometido, el ataque pasa por múltiples etapas e involucra algunos trucos ingeniosos diseñados para evitar la detección. Lo más probable es que el vector de ataque inicial sea una campaña de correo electrónico no deseado que difunde correos electrónicos con archivos adjuntos corruptos. Cuando el usuario ejecuta el archivo adjunto de correo electrónico, activa un script de Visual Basic que se conecta a un sitio remoto que actúa como un punto de entrada para varias redirecciones HTTP 302 antes de llegar finalmente a un archivo .ZIP alojado en OneDrive. El archivo contiene un archivo VBS (VBE) codificado.

Mientras tanto, el script VBS inicial coloca un segundo archivo VBS en el sistema de archivos e inyecta tres entradas de blob de datos en el registro de Windows que se utilizan en las siguientes etapas del ataque. Después de eso, procede a crear una Tarea Programada responsable de ejecutar el script VBS en un punto predeterminado en el futuro. El código VBS, a su vez, inicia PowerShell e inserta los comandos necesarios en el portapapeles del sistema. Luego, la amenaza envía los comandos a la ventana de PowerShell a través del comando VBS SendKeys mediante programación. Esta técnica evita la generación de una instancia de PowerShell que contiene parámetros de línea de comandos inusuales que pueden ser recogidos por productos de seguridad.

Fase de ataque sin archivos

El resto de las acciones amenazadoras no tienen archivo. Los pasos implican que PowerShell extraiga un decodificador .NET ejecutable de los blobs del Registro y lo inyecte en un proceso del sistema. El decodificador luego extrae un inyector .NET y blobs de carga útil. En esta fase, el inyector procede a cargar la carga útil insertándola en la aplicación msbuild.exe.

Cabe señalar que varias cadenas, el nombre del archivo ZIP inicial (Timbres-electroniques), así como una de las claves del Registro (Entreur), son todas palabras de origen francés. Puede que no sea una sorpresa entonces que entre los objetivos detectados de MoDi RAT haya varias empresas francesas.