 |
| Imagen: RSA |
El RAT, apodado GlassRAT, fue firmado con un certificado perteneciente a una popular compañía de software de China con cientos de millones de usuarios en todo el mundo. El RAT fue utilizado para espiar a los ciudadanos chinos que trabajan en los departamentos comerciales, y podría tener vínculos con otras campañas de malware que se remontan al 2012.
El malware fue descubierto a principios de este año por investigadores de RSA Security durante una llamada de respuesta a incidentes. La víctima, como se vio después, era un nacional chino trabajando en una gran "empresa multinacional", dijo RSA; la víctima no estaba en China. No se sabe cómo se infectó la víctima, ya sea a través de una campaña de phishing, drive-by download o algún otro medio, dijo RSA.
"No hay una mucha información aparte de la actividad específica en la red de la empresa multinacional donde había tráfico de comando y control desde el dispositivo a través de línea de comandos", dijo Kent Backman, el investigador principal del incidente. "Había alguien del otro lado investigando la red en la que la laptop estaba conectada. Parece como una herramienta de recolección de inteligencia; ese es el objetivo más probable de este RAT ".
Si bien estos objetivos eran principalmente comerciales para fines de espionaje industrial, parte de la infraestructura de comando y control utilizada por GlassRAT también se utilizó en campañas anteriores contra objetivos geopolíticos, probablemente algún tipo de espionaje político.
"Tendemos a creer que debido a que la orientación es diferente, va desde geopolítica a comerciales, que probablemente estamos tratando con una división distinta de una organización de hacking mucho más grande que mostró algunas de sus cartas con respecto al mando y control, dijo Backman .
RSA dijo que tuvo que esperar varios meses para dar con un acierto de una firma Yara subida a VirusTotal y otras fuentes antes de que fuera capaz de concluir que la infraestructura de GlassRAT también fue utilizada en ataques contra los gobiernos de Mongolia y Filipinas, pero con diferente malware, Mirage (MirageRAT), Magicfire y PlugX.
"La ventana de traslape temporal en la infraestructura compartida fue relativamente corta lo que implica un posible accidente en la seguridad operacional por los actores detrás de GlassRAT o que compartieron deliberadamente su infraestructura", escribió RSA en un informe publicado el día de ayer.
RSA no reveló la compañía cuyo certificado fue robado, pero si especifico que ha sido revocado. El certificado se utiliza para firmar un dropper para el malware, que se borra a sí mismo después de descargar el programa malicioso en la máquina comprometida. RSA dijo que la compañía de software sin nombre con sede en Beijing, desarrolla una aplicación en particular, que tiene más de 500 millones de usuarios, y el nombre de esa aplicación es el mismo que aparece en el cuadro de diálogo de instalacion del certificado del malware.
"Sabemos que este malware fue muy eficaz en la gran corporación multinacional", dijo Backman. "No fue detectado durante años por los antivirus, y lo más probable es que si estuviera sido dirigido mas amplia mente, las posibilidades de escapar de los antivirus habrían sido menos."
