MysterySnail RAT
MysterySnail RAT es una amenaza que, según los hallazgos de los investigadores de infosec, está conectada al grupo chino APT (Advanced Persistent Threat) IronHusky. La amenaza se describe como un troyano de tipo shell remoto y es inusualmente grande con 8,29 MB. Hay varias razones para el tamaño anormal. Primero, MysterySnail RAT se compila estáticamente con la biblioteca OpenSSL y tiene código sin usar de esa biblioteca. En segundo lugar, contiene dos funciones grandes que no tienen ningún propósito práctico además de desperdiciar ciclos de reloj del procesador.
La razón probable para la inclusión de grandes trozos de código superfluo es aumentar las capacidades de anti-detección y anti-emulación de la amenaza. Esta conclusión también está respaldada por la inclusión de varias lógicas redundantes, así como múltiples funciones exportadas, mientras que solo una realiza las tareas reales.
Detalles de MysterySnail RAT
En conjunto, MysterySnail RAT no se encuentra entre las amenazas más sofisticadas de este tipo.Sin embargo, lo compensa con una lista ampliada de funcionalidades (la amenaza puede reconocer un total de 20 comandos diferentes) como detectar cualquier unidad de disco insertada o poder actuar como un proxy. Al recibir el comando apropiado de su servidor de Comando y Control (C&C, C2), la amenaza es capaz de manipular el sistema de archivos del sistema comprometido creando, leyendo, cargando o eliminando los archivos elegidos. MysterySnail RAT también puede iniciar o finalizar procesos. Además, puede abrir una ventana de símbolo del sistema que permite a los atacantes ejecutar comandos arbitrarios.
Una de las primeras acciones realizadas por MysterySnail RAT es recopilar datos sobre el sistema vulnerado. El malware recopila detalles, como el nombre de la computadora, el nombre del producto de Windows, la dirección IP, el nombre de usuario y más. Luego, toda la información recopilada se carga en el servidor C2. En cuanto a la dirección del servidor, las muestras de amenazas analizadas tenían dos URL codificadas almacenadas en texto sin formato que actuaban como señuelos. La URL real es decodificada por un solo byte xor que entrega la dirección 'http [.] Ddspadus [.] Com'.
