TSCookieRAT
TSCookieRAT es una amenaza de acceso remoto que fue aprovechada contra objetivos japoneses por el grupo de piratas informáticos que lleva la designación BlackTech. La operación amenazante utilizó correos electrónicos de cebo para engañar a los usuarios objetivo para que hicieran clic en una URL que conducía a la amenaza. Cabe señalar que TSCookieRAT también se rastreó bajo el nombre PLEAD inicialmente, pero un análisis posterior ha revelado ciertas distinciones entre los dos.
Los correos electrónicos de señuelo empleados en la campaña supuestamente provienen del Ministerio de Educación, Cultura, Deportes, Ciencia y Tecnología de Japón. La URL proporcionada en los correos electrónicos descarga un archivo DLL cifrado que contiene el componente cargador de TSCookieRAT. Luego, el archivo DLL se carga y se ejecuta en la memoria. Las funcionalidades dañinas de la amenaza se expanden en las últimas etapas del ataque mediante la obtención y ejecución de módulos adicionales del servidor de Comando y Control (C2, C&C) de la campaña. Todos los componentes de la última etapa también se ejecutan en la memoria.
Cuando TSCookieRAT está listo para comenzar su operación amenazante, envía una solicitud HTTP GET al C&C y luego espera los comandos entrantes. La amenaza permite al estafador establecer un nivel significativo de control sobre el sistema infectado. Los piratas informáticos pueden ejecutar comandos de shell arbitrarios, extraer datos, incluida la información del sistema y la unidad, manipular el sistema de archivos y recopilar información confidencial, como contraseñas de los navegadores web más populares: Chrome, Firefox, Edge, Internet Explorer y el cliente de correo electrónico Outlook. Los resultados recopilados en respuesta a los comandos recibidos se cargan en el mismo formato que la primera solicitud HTTP POST.
Las campañas de ataque de BlackTech contra objetivos japoneses pueden continuar y podrían involucrar diferentes amenazas de malware, por lo que las organizaciones deben mantener su ciberseguridad en un nivel satisfactorio e implementar cualquier parche de seguridad de software a su debido tiempo.
