Los investigadores advirtieron el martes que la última APT cuenta con un troyano de acceso remoto que puede mitigar con eficacia las medidas de seguridad en las máquinas y otorgar al atacante acceso completo al sistema.
Expertos de seguridad cibernética israelí enSilo descubrieron el RAT - al que llamaron Moker - acechando dentro de una de las redes de sus clientes, pero admiten que no están seguros de cómo llegó allí.
De hecho Yotam Gottesman, un investigador de seguridad de la firma, cree que aun se sabía poco sobre el malware hasta que se toparon con él, señalando que Moker no ha aparecido en VirusTotal todavía.
Tal vez sea porque el RAT, que se enfoca en las máquinas Windows, es especialmente hábil cuando se trata de no ser atrapado.
Según los investigadores, Moker puede evadir el antivirus, sandbox, máquinas virtuales, y aprovechando una falla de diseño, control de cuentas de usuario, la característica de Windows que se supone que da a los usuarios un mano a mano cuando un programa hace un cambio que requiere el permiso de nivel de administrador. El malware parecer incluso aplica técnicas anti-depuración después de ser detectado para evitar la disección del malware y engañar más a los investigadores.
"Las medidas de detección de evasión [de Moker] incluyen la encriptación de sí mismo y una instalación de dos pasos", Gottesman escribió el martes.
"Las medidas para protegerse de la disección póstuma incluyen evadir las técnicas de depuración que son utilizados por los investigadores, la adición de código complejo y añadiendo a propósito instrucciones para conducir a los investigadores en la dirección equivocada."
Una vez integrado en un sistema, el RAT podría causar un verdadero dolor de cabeza para los usuarios. Un atacante podría más o menos tomar el control total del dispositivo para tomar capturas de pantalla, el registro del tráfico de web, monitorear las pulsaciones del teclado y extraer archivos. También podrían aprovechar el malware para crear nuevas cuentas de usuario, modificar la configuración de seguridad del sistema, e inyectar código malicioso en tiempo de ejecución en la máquina.
No está claro exactamente quién está detrás de el malware - enSilo señala que el malware se comunicó con un servidor en Montenegro, una pequeña nación balcánica que limita con Serbia y Kosovo - pero admite que es probablemente para deshacerse de los investigadores y la policía.
Además de las medidas tomadas para evitar la detección, otra cosa interesante sobre el malware es que no necesariamente tiene que comunicarse con un mando y control servidor externo para hacer su trabajo. El malware en lugar puede recibir comandos a nivel local a través de un panel de control oculto.
Los investigadores asumen que esta funcionalidad fue construida en el RAT para que un atacante podría conectarse por VPN en el sistema objetivo y manipularla de ahí, pero reconocen que la función también podría haber sido introducida por el autor para realizar pruebas.
Mientras enSilo afirma que Moker podría haber sido una cosa de una vez, la firma no descarta la posibilidad de que otros RATs puedan pedir prestadas técnicas similares más adelante.
"Este caso podría haber sido un ataque específico," escribió Gottesman: "Sin embargo, nosotros vemos que los autores de malware adoptan técnicas utilizadas por otros autores. No nos sorprendería si vemos futuras APT utilizando técnicas similares a las de Moker (como pasar por los mecanismos de seguridad y técnicas de disección) ".
Expertos de seguridad cibernética israelí enSilo descubrieron el RAT - al que llamaron Moker - acechando dentro de una de las redes de sus clientes, pero admiten que no están seguros de cómo llegó allí.
De hecho Yotam Gottesman, un investigador de seguridad de la firma, cree que aun se sabía poco sobre el malware hasta que se toparon con él, señalando que Moker no ha aparecido en VirusTotal todavía.
Tal vez sea porque el RAT, que se enfoca en las máquinas Windows, es especialmente hábil cuando se trata de no ser atrapado.
Según los investigadores, Moker puede evadir el antivirus, sandbox, máquinas virtuales, y aprovechando una falla de diseño, control de cuentas de usuario, la característica de Windows que se supone que da a los usuarios un mano a mano cuando un programa hace un cambio que requiere el permiso de nivel de administrador. El malware parecer incluso aplica técnicas anti-depuración después de ser detectado para evitar la disección del malware y engañar más a los investigadores.
"Las medidas de detección de evasión [de Moker] incluyen la encriptación de sí mismo y una instalación de dos pasos", Gottesman escribió el martes.
"Las medidas para protegerse de la disección póstuma incluyen evadir las técnicas de depuración que son utilizados por los investigadores, la adición de código complejo y añadiendo a propósito instrucciones para conducir a los investigadores en la dirección equivocada."
Una vez integrado en un sistema, el RAT podría causar un verdadero dolor de cabeza para los usuarios. Un atacante podría más o menos tomar el control total del dispositivo para tomar capturas de pantalla, el registro del tráfico de web, monitorear las pulsaciones del teclado y extraer archivos. También podrían aprovechar el malware para crear nuevas cuentas de usuario, modificar la configuración de seguridad del sistema, e inyectar código malicioso en tiempo de ejecución en la máquina.
No está claro exactamente quién está detrás de el malware - enSilo señala que el malware se comunicó con un servidor en Montenegro, una pequeña nación balcánica que limita con Serbia y Kosovo - pero admite que es probablemente para deshacerse de los investigadores y la policía.
Además de las medidas tomadas para evitar la detección, otra cosa interesante sobre el malware es que no necesariamente tiene que comunicarse con un mando y control servidor externo para hacer su trabajo. El malware en lugar puede recibir comandos a nivel local a través de un panel de control oculto.
Los investigadores asumen que esta funcionalidad fue construida en el RAT para que un atacante podría conectarse por VPN en el sistema objetivo y manipularla de ahí, pero reconocen que la función también podría haber sido introducida por el autor para realizar pruebas.
Mientras enSilo afirma que Moker podría haber sido una cosa de una vez, la firma no descarta la posibilidad de que otros RATs puedan pedir prestadas técnicas similares más adelante.
"Este caso podría haber sido un ataque específico," escribió Gottesman: "Sin embargo, nosotros vemos que los autores de malware adoptan técnicas utilizadas por otros autores. No nos sorprendería si vemos futuras APT utilizando técnicas similares a las de Moker (como pasar por los mecanismos de seguridad y técnicas de disección) ".
