Programa malicioso CR4T
Las instituciones gubernamentales de todo Medio Oriente se han convertido en el objetivo de una operación de ataque sigilosa destinada a infiltrarse en sus sistemas con una puerta trasera previamente desconocida conocida como CR4T. Los expertos en ciberseguridad notaron esta actividad por primera vez en febrero de 2024, pero la evidencia sugiere que podría haber comenzado un año antes. La operación está siendo rastreada como DuneQuixote. Los perpetradores han hecho todo lo posible para evitar la detección y el examen de sus implantes maliciosos, empleando sofisticadas técnicas de evasión tanto en sus comunicaciones de red como en el diseño del malware en sí.
La etapa inicial de la cadena de ataques de DuneQuixote
El ataque comienza con un dropper, disponible en dos variantes: un dropper estándar, ya sea en formato ejecutable o DLL, y un archivo de instalación manipulado para la herramienta legítima, Total Commander. Independientemente de la variante, el objetivo principal del dropper sigue siendo el mismo: extraer una dirección de comando y control (C2) cifrada, utilizando una técnica de descifrado innovadora para proteger la dirección del servidor de herramientas automatizadas de análisis de malware.
Este método implica adquirir el nombre de archivo del cuentagotas y concatenarlo con uno de varios extractos predefinidos de poemas en español incluidos en el código del cuentagotas. Posteriormente, el malware calcula el hash MD5 de la cadena combinada, que sirve como clave de descifrado para la dirección del servidor C2.
Una vez descifrado, el dropper establece conexiones con el servidor C2 y procede a descargar una carga útil posterior mientras proporciona una identificación codificada como cadena de usuario-agente en la solicitud HTTP.
El acceso a la carga útil está restringido a menos que se proporcione el agente de usuario correcto. Además, parece que la carga útil solo se puede recuperar una vez por objetivo o durante un tiempo limitado después de la implementación de una muestra de malware en la naturaleza.
Por el contrario, el instalador troyanizado de Total Commander presenta varias variaciones y al mismo tiempo mantiene la funcionalidad principal del cuentagotas original. Elimina las cadenas de poemas en español e introduce medidas adicionales de antianálisis. Estas comprobaciones impiden una conexión al servidor C2 si el sistema detecta un depurador o una herramienta de monitoreo, si el cursor permanece estacionario más allá de una duración especificada, si la RAM disponible es inferior a 8 GB o si la capacidad del disco cae por debajo de 40 GB.
El malware CR4T permite a los atacantes ejecutar comandos en los sistemas infectados
CR4T ('CR4T.pdb') es un implante de sólo memoria escrito en C/C++. Proporciona a los atacantes acceso a una consola de línea de comandos para ejecutar comandos en el sistema comprometido, realizar operaciones de archivos y transferir archivos hacia y desde el servidor C2. Además, los investigadores han descubierto una versión Golang de CR4T con funcionalidades similares, incluida la ejecución de comandos arbitrarios y la creación de tareas programadas utilizando la biblioteca Go-ole.
Además, la puerta trasera Golang CR4T implementa persistencia a través del secuestro de objetos COM y utiliza la API de Telegram para comunicaciones C2. La aparición de la variante Golang indica que los actores de amenazas no identificados detrás de la campaña DuneQuixote están refinando activamente sus tácticas con malware multiplataforma.
La iniciativa 'DuneQuixote' se centra en entidades de Oriente Medio y emplea una amplia gama de herramientas destinadas al sigilo y la persistencia. Los atacantes muestran capacidades y técnicas de evasión avanzadas mediante la implementación de implantes de memoria y goteros disfrazados de software legítimo, como imitaciones del instalador de Total Commander.
