A Unit 42, unidade de pesquisa da Palo Alto Networks, descobriu um novo RAT (sigla em inglês para Trojan de Acesso Remoto) customizado e usado para atacar pessoas e empresas na Coréia do Sul e a indústria de games.
Denominado UBoatRAT, a ferramenta maliciosa pode controlar computadores à distância. Os ataques usam o Google Drive para distribuir o Malware, endereços de C2 do GitHub (popular plataforma online para desenvolvedores) e ainda usa o BITS (Background Intelligent Transfer Service, componente do Microsoft Windows) para manter a persistência do ataque.
Embora a versão mais recente do UBoatRAT tenha sido lançada em setembro, a Unit 42 notou várias atualizações na conta elsa999 no GitHub em outubro. O autor parece estar desenvolvendo ou testando vigorosamente a ameaça. A Unit 42 continua a monitorar esta atividade para atualizações.
Distribuição
Segundo a empresa, várias versões do UBoatRAT eram distribuídas pelo arquivo ZIP baixado do Google Drive, como mostra a figura acima. O arquivo continha executáveis maliciosos disfarçados de pastas e planilhas do Microsoft Excel. Quando executado, o malware verifica softwares de virtualização e obtém nome do domínio e parâmetros de rede. Se a virtualização é detectada, o RAT é interrompido e mostra uma falsa mensagem de erro à vítima.
O UBoatRAT usa um serviço de transferência de arquivos entre máquinas do Windows, o BITS – usado inclusive pelo sistema de atualização do próprio sistema operacional. O malware se aproveita de uma das opções de execução para assegurar seu funcionamento, mesmo após uma reinicialização do dispositivo infectado.
Os criminosos por trás do ataque esconderam o endereço do servidor de comando e controle às portas de destino em um arquivo hospedado no GitHub, usando uma URL acessada pelo RAT para se comunicar com o servidor do atacante e controlar a máquina da vítima. Uma das linhas de programação se referia a “Rudeltaktik”, um termo militar alemão que descreve a estratégia de submarinos durante a Segunda Guerra Mundial – daí seu nome “UBoat”RAT (do alemão U-Boot, submarino).
Além da URL no GitHub, também foram identificadas amostras conectadas a um blog em Hong Kong e web server comprometido no Japão. A conta do blog estava identificada como “elsa_kr” e existe desde abril de 2016. No GirHub a conta pertencia ao usuário “elsa999”, que frequentemente atualizava arquivos com o propósito de testar diferentes amostras do UBoatRAT.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo