Los investigadores de seguridad del Grupo de Investigación e Inteligencia de Seguridad Talos de Cisco han descubierto un nuevo tipo de malware, capaz de atacar los dispositivos de una víctima a través de documentos maliciosos de Microsoft Office.

El malware es un troyano de acceso remoto, también conocido como RAT, que los analistas de Talos Warren Mercer, Paul Rascagneres, Vitor Ventura y Eric Kuhla llamaron "JhoneRAT" mientras busca nuevos comandos en tweets del identificador @jhone87438316. Twitter ha suspendido el identificador, pero JhoneRAT busca nuevos comandos cada 10 segundos usando un analizador HTML para identificar nuevos tweets.

En una publicación de blog y una entrevista por correo electrónico, Rascagneres y el equipo de Talos explicaron que este malware se ha utilizado específicamente para atacar a personas y sistemas en Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria y el Emiratos Árabes Unidos. , Kuwait, Bahrein y Líbano.

"No sabemos por qué específicamente estos países, los atacantes simplemente codificaron estos países en el malware. Los atacantes tenían el control total de los sistemas comprometidos. El propósito de las campañas era el espionaje cibernético”, dijo Rascagneres.

VER: Política de uso de Internet y correo electrónico (Premium de TechRepublic)

Los ciberatacantes han estado usando JhoneRAT desde noviembre y poco ha cambiado en sus tácticas desde entonces, según Rascagneres.

Índice

Cómo funciona JhoneRAT

Cuando se implementa JhoneRAT, intenta recopilar información de la máquina de la víctima y luego utiliza varios servicios en la nube como Google Drive, Twitter, ImgBB y Google Forms antes de intentar descargar más cargas útiles y descargar toda la información recopilada durante la fase de reconocimiento.

Los investigadores de Talos pudieron decir a partir del código que JhoneRAT se desarrolló usando Python y que las personas detrás de él se dirigieron específicamente a cada país "según el diseño del teclado de la víctima".

“Todo comienza con un documento malicioso que utiliza una vulnerabilidad conocida para descargar un documento malicioso alojado en Internet. Para esta campaña, el atacante eligió utilizar un proveedor de nube (Google) con buena reputación para evitar la lista negra de URL. El malware se divide en dos capas: cada capa carga una nueva carga útil en un proveedor de la nube para desarrollar la RAT final en Python, que utiliza proveedores adicionales como Twitter e ImgBB”, escribieron los investigadores de Talos en su publicación de blog.

"Esta RAT es un buen ejemplo de cómo un ataque altamente dirigido que intenta mezclar su tráfico de red con la multitud puede ser muy efectivo. En esta campaña, centrarse en la detección de red no es el mejor enfoque. En cambio, la detección debe basarse en la comportamiento del sistema operativo Los atacantes pueden hacer mal uso de proveedores de nube conocidos y abusar de su reputación para evitar la detección ", continúa el blog.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (República Tecnológica)

Cómo protegerse de una RATA

Los atacantes pueden engañar a sus víctimas para que abran los documentos etiquetándolos como "Urgent.docx" o "fb.docx" junto con otros archivos de imágenes extraños. A pesar de revocar la clave API y suspender la cuenta de Twitter, el atacante aún puede implementar la RAT con nuevas cuentas.

En su publicación de blog, los investigadores de Talos señalaron que quienes estaban detrás del ataque utilizaron trucos anti-VM y anti-análisis para enmascarar sus acciones, lo que refuerza la necesidad de sistemas de seguridad que puedan hacer algo más que una simple detección basada en la red.

“En cuanto a la campaña, todo comienza con un documento malicioso de Office. Le recomendamos que no abra documentos de remitentes desconocidos. Además, los usuarios deben tener cuidado cuando Office solicite habilitar la macro (botón "Habilitar contenido"). Recomendamos no habilitarlos y recomendamos a las empresas que hagan cumplir esta política. La protección de puntos finales también es importante para detectar estas campañas”, agregó Rascagneres.

“En estas campañas, los atacantes utilizaron proveedores de la nube, por lo que la protección y detección de redes no son efectivas. Esto demuestra que la protección de puntos finales es obligatoria además de otros mecanismos de detección que las empresas ya tienen implementados. »