Identificado RAT direcionado a indústria de videogames

Por: Redação, ⌚ 04/12/2017 às 17h43 - Atualizado em 04/12/2017 às 17h43

A Unit 42, unidade de pesquisa da Palo Alto Networks, descobriu um novo RAT (sigla em inglês para Trojan de Acesso Remoto) customizado e usado para atacar pessoas e empresas na Coreia do Sul e a indústria de games.

 

Denominado UBoatRAT, a ferramenta maliciosa pode controlar computadores à distância. Os ataques usam o Google Drive para distribuir o Malware, endereços de C2 do GitHub (popular plataforma online para desenvolvedores) e ainda usa o BITS (Background Intelligent Transfer Service, componente do Microsoft Windows) para manter a persistência do ataque.

 

 

Distribuição

 

Várias versões do UBoatRAT eram distribuídas pelo arquivo ZIP baixado do Google Drive, como mostra a figura acima.

 

O arquivo continha executáveis maliciosos disfarçados de pastas e planilhas do Microsoft Excel. Quando executado, o malware verifica softwares de virtualização e obtém nome do domínio e parâmetros de rede. Se a virtualização é detectada, o RAT é interrompido e mostra uma falsa mensagem de erro à vítima.

 

Ataque persistente e C2

 

O UBoatRAT usa um serviço de transferência de arquivos entre máquinas do Windows, o BITS – usado inclusive pelo sistema de atualização do próprio sistema operacional. O malware se aproveita de uma das opções de execução para assegurar seu funcionamento, mesmo após uma reinicialização do dispositivo infectado.

 

Os criminosos por trás do ataque esconderam o endereço do servidor de comando e controle às portas de destino em um arquivo hospedado no GitHub, usando uma URL acessada pelo RAT para se comunicar com o servidor do atacante e controlar a máquina da vítima. Uma das linhas de programação se referia a “Rudeltaktik”, um termo militar alemão que descreve a estratégia de submarinos durante a Segunda Guerra Mundial – daí seu nome “UBoat”RAT (do alemão U-Boot, submarino).

 

Além da URL no GitHub, também foram identificadas amostras conectadas a um blog em Hong Kong e web server comprometido no Japão.

 

A conta do blog estava identificada como “elsa_kr” e existe desde abril de 2016. No GirHub a conta pertencia ao usuário “elsa999”, que frequentemente atualizava arquivos com o propósito de testar diferentes amostras do UBoatRAT.

 

Conclusão

 

Embora a versão mais recente do UBoatRAT tenha sido lançada em setembro, a Unit 42 notou várias atualizações na conta elsa999 no GitHub em outubro. O autor parece estar desenvolvendo ou testando vigorosamente a ameaça. A Unit 42 continua a monitorar esta atividade para atualizações.

 

Para acessar o relatório completo (em inglês), clique aqui.

 



Newsletter

Rangel Rodrigues
Graça Sermoud
Marcos Semola
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS