Clicky

Los señuelos temáticos de COVID se dirigen a sectores energéticos con malware de robo de datos

PoetRAT

PoetRAT: Python RAT utiliza señuelos COVID-19 para apuntar a los sectores público y privado de Azerbaiyán

Se ha encontrado una nueva campaña de malware que utiliza señuelos con temática de coronavirus para atacar a los sectores del gobierno y la energía en Azerbaiyán con troyanos de acceso remoto (RAT) capaces de extraer documentos confidenciales, pulsaciones de teclas, contraseñas e incluso imágenes de la cámara web.

Los ataques dirigidos emplean documentos de Microsoft Word como droppers para desplegar una RAT previamente desconocida basada en Python llamada "PoetRAT" debido a varias referencias a sonetos del dramaturgo inglés William Shakespeare.

"El RAT tiene todas las características estándar de este tipo de malware, proporcionando un control total del sistema comprometido para la operación", dijo Cisco Talos en un análisis publicado la semana pasada.

Según los investigadores, el malware se dirige específicamente a sistemas de control de supervisión y adquisición de datos (SCADA) en la industria energética, como los sistemas de turbinas eólicas, cuyas identidades se desconocen actualmente.

El desarrollo es el último de un aumento en los ataques cibernéticos que explotan como cebo los temores continuos de la pandemia de coronavirus para instalar malware, robar información y obtener ganancias.

Uso de señuelos temáticos COVID-19 como señuelo

La campaña funciona agregando PoetRAT a un documento de Word que, cuando se abre, ejecuta una macro que extrae el malware y lo ejecuta.

El mecanismo de distribución exacto del documento de Word sigue sin estar claro, pero dado que los documentos están disponibles para descargar desde una URL simple, los investigadores sospechan que las víctimas están siendo engañadas para descargar la RAT a través de URL maliciosas o correos electrónicos de phishing.

Talos dijo que descubrió ese ataque en tres oleadas a partir de febrero, algunas de las cuales utilizaron documentos señuelo que afirman ser de agencias gubernamentales de Azerbaiyán y de la Organización de Investigación y Desarrollo de Defensa de India (DRDO), o aludiendo al COVID-19 en sus nombres de archivo ("C19 .docx ") sin ningún contenido real.

malware code

Independientemente del vector de ataque, la macro de Visual Basic Script en el documento escribe el malware en el disco como un archivo llamado "smile.zip", que consiste en un intérprete de Python y la propia RAT.

El script de Python también verifica el entorno donde se abre el documento para asegurarse de que no se encuentre en una caja de arena, basándose en el supuesto de que las cajas de arena tienen discos duros de menos de 62 GB. Si detecta un entorno de espacio aislado, se elimina del sistema.

Hacer modificaciones en el registro para ganar persistencia

En cuanto a la RAT, viene con dos scripts: un "frown.py" que se encarga de comunicarse con un servidor de comando y control remoto (C2) con un identificador de dispositivo único, y un "smile.py" que maneja la ejecución de comandos C2 en la máquina comprometida.

Los comandos hacen posible que un atacante cargue archivos confidenciales, haga capturas de pantalla, finalice procesos del sistema, registre pulsaciones de teclas ("Klog.exe") y robe contraseñas almacenadas en navegadores ("Browdec.exe").

Además de esto, el adversario detrás de la campaña también implementó herramientas de explotación adicionales, incluido "dog.exe", un malware basado en .NET que monitorea las rutas del disco duro y transmite automáticamente la información a través de una cuenta de correo electrónico o un FTP. Otra herramienta llamada "Bewmac" permite al atacante tomar el control de la cámara web de la víctima.

El malware gana persistencia al crear claves de registro para ejecutar el script de Python e incluso puede realizar modificaciones en el registro para evitar la verificación de evasión de sandbox antes mencionada, posiblemente para evitar volver a verificar el mismo entorno nuevamente.

"El actor monitoreó directorios específicos, señalando que querían filtrar cierta información sobre las víctimas", concluyeron los investigadores de Talos.

"El atacante no solo quería información específica obtenida de las víctimas, sino también un caché completo de información relacionada con su víctima. Al usar Python y otras herramientas basadas en Python durante su campaña, el actor puede haber evitado la detección por herramientas tradicionales que han incluido en la lista blanca las técnicas de ejecución de Python y Python ".

Jesus_Caceres