El equipo de investigación de Proofpoint descubrió un nuevo troyano modular de acceso remoto denominado tRat , que se distribuyó durante las campañas de spam de septiembre y octubre de 2018 por parte del grupo de amenazas TA505.
El grupo de APT detrás del malware RAT recién descubierto también se encontró responsable de la campaña Dridex 2014 y la campaña Locky que se desarrolló de 2016 a 2017.
TA505 también se ha observado vendiendo otras cargas de malware, desde el troyano bancario Shifu y The Trick y la botnet Necurs hasta las aún más peligrosas cepas de ransomware Jaff, Bart, Filadelfia y GlobeImposter, todas ellas distribuidas a través de vastas campañas de spam diseñadas para ceder a muchos. Las víctimas como sea posible con la menor cantidad de esfuerzo.
Mientras que TA505 usó la campaña de spam de septiembre para distribuir su nuevo malware tRat a través de documentos de Microsoft Word diseñados con fines malintencionados diseñados para usar macros para colocar RAT en las máquinas objetivo, el ataque de octubre fue mucho más complejo.
Además, durante octubre, tRat fue empujado a posibles víctimas utilizando " archivos de Microsoft Word y Microsoft Publisher , y líneas de asunto y remitentes variables. Esta campaña parecía estar dirigida a usuarios de instituciones bancarias comerciales".
tRat utiliza canales de datos encriptados para comunicarse con sus servidores de C&C
tRat logra persistencia en sistemas comprometidos utilizando múltiples métodos y utilizando el puerto TCP 80 para comunicarse con sus servidores de comando y control (C&C) utilizando canales cifrados y codificados en hexadecimal.
Por el momento, la lista de comandos utilizada por TA505 para controlar la RAT aún no se conoce, y Proofpoint solo puede desenterrar solo el comando "MÓDULO", pero no se ha descubierto información sobre qué módulos adicionales agrega este comando al malware tRAT.
Según Proofpoint, la "adopción de RAT de TA505 este año refleja un cambio más amplio hacia cargadores, ladrones y otros programas maliciosos diseñados para residir en dispositivos y proporcionar retornos de inversión a largo plazo a los actores de amenazas".
Además, los últimos ataques de TA505 deberían ser bastante rentables, dado que se sabe que su campaña de octubre se enfocó en instituciones bancarias comerciales y que se espera que el malware tRat comprometa una gran cantidad de objetivos, considerando que se sabe que la APT opera a una escala masiva.
Fecha actualización el 2021-11-20. Fecha publicación el 2018-11-20. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: softpedia