Los expertos de la empresa de seguridad Trend Micro han identificado un nuevo Troyano de Acceso Remoto (RAT). Se llama BKDR_RARSTONE.A y emplea algunas técnicas interesantes para infectar una máquina.
RATs como PlugX son utilizados a menudo por los ciberdelincuentes en campañas de amenaza persistente avanzada (APT). Las piezas de malware de este tipo son peligrosas porque una vez que infecten una máquina, permiten a su maestro realizar todo tipo de tareas maliciosas.
BKDR_RARSTONE.A es similar a PlugX porque también carga el componente de backdoor en la memoria. Sin embargo, según el investigador de amenazas de Trend Micro, Abraham Camba, también tiene algunas técnicas inteligentes por cuenta propia.
Al parecer, el RAT se distribuye vía correos electrónicos de spear phishing que incluyen un archivo .doc malicioso. El archivo aparentemente inocuo infiltra y ejecuta BKDR_RARSTONE.A.
El RAT suelta un archivo .exe y un archivo .dat que contiene rutinas de malware. El malware abre un proceso oculto de Internet Explorer al que inyecta con código adquirido desde el archivo .dat.
"Al igual que en el caso de PlugX, el código inyectado se descifra en la memoria. Una vez descifrado 'descarga' un archivo .DLL de su servidor de comando y control y lo carga de nuevo en el espacio de memoria del proceso oculto de Internet Explorer. En realidad, este archivo 'descargado' no es infiltrado en el sistema, pero en cambio es cargado directamente en la memoria, haciendo ineficaz la detección basada en archivos”, explicó Camba.
Para acceder a la información sobre las aplicaciones instaladas y a datos sobre cómo desinstalar algunas piezas de software – como antivirus –, BKDR_RARSTONE.A tiene la capacidad de acceder a las entradas de Uninstall Registry Key.
También cabe señalar que este troyano utiliza SSL para comunicaciones. Esto garantiza que los datos transferidos entre el host infectado y el servidor de mando y control estén encriptados.
También asegura que el tráfico generado se mezcle con el tráfico normal.
Trend Micro menciona que los RATs como BKDR_RARSTONE son un claro indicador de que los ciberdelincuentes están trabajando siempre en mejorar sus creaciones maliciosas.
Via:softpedia
RATs como PlugX son utilizados a menudo por los ciberdelincuentes en campañas de amenaza persistente avanzada (APT). Las piezas de malware de este tipo son peligrosas porque una vez que infecten una máquina, permiten a su maestro realizar todo tipo de tareas maliciosas.
BKDR_RARSTONE.A es similar a PlugX porque también carga el componente de backdoor en la memoria. Sin embargo, según el investigador de amenazas de Trend Micro, Abraham Camba, también tiene algunas técnicas inteligentes por cuenta propia.
Al parecer, el RAT se distribuye vía correos electrónicos de spear phishing que incluyen un archivo .doc malicioso. El archivo aparentemente inocuo infiltra y ejecuta BKDR_RARSTONE.A.
El RAT suelta un archivo .exe y un archivo .dat que contiene rutinas de malware. El malware abre un proceso oculto de Internet Explorer al que inyecta con código adquirido desde el archivo .dat.
"Al igual que en el caso de PlugX, el código inyectado se descifra en la memoria. Una vez descifrado 'descarga' un archivo .DLL de su servidor de comando y control y lo carga de nuevo en el espacio de memoria del proceso oculto de Internet Explorer. En realidad, este archivo 'descargado' no es infiltrado en el sistema, pero en cambio es cargado directamente en la memoria, haciendo ineficaz la detección basada en archivos”, explicó Camba.
Para acceder a la información sobre las aplicaciones instaladas y a datos sobre cómo desinstalar algunas piezas de software – como antivirus –, BKDR_RARSTONE.A tiene la capacidad de acceder a las entradas de Uninstall Registry Key.
También cabe señalar que este troyano utiliza SSL para comunicaciones. Esto garantiza que los datos transferidos entre el host infectado y el servidor de mando y control estén encriptados.
También asegura que el tráfico generado se mezcle con el tráfico normal.
Trend Micro menciona que los RATs como BKDR_RARSTONE son un claro indicador de que los ciberdelincuentes están trabajando siempre en mejorar sus creaciones maliciosas.
Via:softpedia