COMpfun recibió una actualización significativa el año pasado (llamada "Reductor")
Se ha descubierto una nueva versión del troyano de acceso remoto COMpfun (RAT) que utiliza códigos de estado HTTP para controlar sistemas comprometidos en una reciente campaña contra entidades diplomáticas en Europa.
El malware de ciberespionaje, rastreado hasta Turla APT con "nivel de confianza medio a bajo" basado en el historial de víctimas comprometidas, se propagó a través de un dropper inicial que se enmascara como una solicitud de visa, descubrió el Equipo Global de Investigación y Análisis de Kaspersky.
El Turla APT, un grupo de hackers con base en Rusia, tiene una larga historia de llevar a cabo ataques de espionaje y abrevadero que abarcan varios sectores, incluidos gobiernos, embajadas, militares, educación, investigación y compañías farmacéuticas.
Documentado por primera vez por G-Data en 2014, COMpfun recibió una actualización significativa el año pasado (llamada "Reductor") después que Kaspersky descubriera que el malware se usaba para espiar la actividad del navegador de una víctima al organizar ataques de hombre en el medio (MitM) en el tráfico web encriptado a través de un ajuste en el generador de números aleatorios del navegador (PRNG).
Además de funcionar como una RAT con todas las funciones capaz de capturar pulsaciones de teclas, capturas de pantalla y extraer datos confidenciales, esta nueva variante de monitores COMpfun para cualquier dispositivo USB extraíble conectado a los sistemas infectados para propagarse aún más y recibe comandos de un servidor controlado por el atacante en forma de códigos de estado HTTP.
"Observamos un interesante protocolo de comunicación C2 que utiliza raros códigos de estado HTTP/HTTPS (verificado IETF RFC 7231, 6585, 4918)", dijeron los investigadores. "Varios códigos de estado HTTP (422-429) de la clase Error de Cliente le permiten al troyano saber qué quieren hacer los operadores. Después de que el servidor de control envía el estado 'Pago requerido' (Payment Required - 402), se ejecutan todos estos comandos recibidos previamente ".
Los códigos de estado HTTP son respuestas estandarizadas emitidas por un servidor en respuesta a la solicitud de un cliente hecha al servidor. Al emitir comandos remotos en forma de códigos de estado, la idea es ofuscar cualquier detección de actividad maliciosa mientras se escanea el tráfico de Internet.
"Los autores mantienen la clave pública RSA y la ETag HTTP única en datos de configuración cifrados. Creado por razones de almacenamiento en caché de contenido web, este marcador también podría usarse para filtrar solicitudes no deseadas al C2, por ejemplo, aquellas que provienen de escáneres de red en lugar de objetivos".
"Para extraer los datos del objetivo al C2 a través de HTTP/HTTPS, el malware utiliza el cifrado RSA. Para ocultar los datos localmente, el troyano implementa la compresión LZNT1 y el cifrado XOR de un byte".
Si bien sigue sin estar claro el modo de funcionamiento exacto detrás de cómo se entrega la solicitud de visa maliciosa a un objetivo, el dropper inicial, después de la descarga, ejecuta la siguiente etapa de malware, que se comunica con el servidor de comando y control (C2) utilizando un estado HTTP basado en el módulo.
"Los operadores de malware mantuvieron su enfoque en las entidades diplomáticas y la elección de una aplicación relacionada con la visa, almacenada en un directorio compartido dentro de la red local, ya que el vector de infección inicial funcionó a su favor", concluyeron los investigadores de Kaspersky.
"La combinación de un enfoque personalizado para sus objetivos y la capacidad de generar y ejecutar sus ideas ciertamente hace que los desarrolladores detrás de COMpfun sean un equipo ofensivo fuerte".