Descubren nuevo troyano denominado ObliqueRAT

24 Febrero 2020
Alto

Investigadores de Cisco Talos han descubierto recientemente una campaña de malware, la cual distribuye una nueva familia de troyano de acceso remoto, la cual han denominado como “ObliqueRAT”. Así mismo han descubierto que ObliqueRAT está relacionada con una campaña anterior de diciembre del 2019 llamada CrimsonRAT, compartiendo con su antecesor documentos y macros maliciosos similares.

Los ciberdelincuentes detrás del esquema utilizan correos electrónicos de phishing como el principal vector de ataque, con documentos maliciosos de Microsoft Office adjuntos a los correos electrónicos fraudulentos diseñados para implementar la RAT. La protección con contraseña está implementada en estos documentos, una técnica que puede diseñarse para tratar de hacer que los documentos parezcan legítimos y seguros en entornos corporativos. Las credenciales necesarias para abrir el archivo probablemente estén contenidas en el cuerpo principal del correo electrónico de phishing. 

El troyano se descarga en las máquinas de las víctimas usando documentos de Microsoft Office confeccionados con macros, las cuales contienen código malicioso, denominados “maldocs”. Luego este malware busca ganar persistencia en el sistema infectado, por lo cual recibe comandos específicamente diseñados desde un servidor de control (C2 o C&C “Command and Control).

Capacidades ObliqueRAT

  • Evitar detecciones de su ejecución, asegurándose que solo un proceso malicioso se este ejecutando a la vez.
  • Verificar si está corriendo dentro de un ambiente contenido “Sandbox” mediante la recolección de información del sistema infectado.
  • Capaz de ejecutar comandos arbitrarios en el sistema infectado. 
  • Exfiltración de archivos.
  • Un atacante puede soltar archivos adicionales
  • Capaz de terminar cualquier proceso en ejecución

Se recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información.

Tags: #Malware #ObliqueRAT #Troyano #Windows


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.