Moker RAT es la amenaza APT más reciente
Los investigadores en ciberseguridad de la empresa enSilo han descubierto un tipo de malware nuevo, poderoso y persistente que azota a la red de uno de sus clientes.
Este malware, al que denominaron Moker después de ver una descripción en su archivo ejecutable, es un troyano de acceso remoto (RAT) con grandes características antidetección y antidepuración.
Moker toma el control total de la máquina objetivo mediante la creación de una nueva cuenta de usuario y la apertura de un canal de RDP para hacerse con el control remoto del dispositivo de la víctima, explicaron los investigadores.
Moker manipula los archivos del sistema y modifica la configuración de seguridad, además de que se inyecta en diferentes procesos del sistema. También es capaz de grabar las pulsaciones del teclado, realizar capturas de pantalla, grabar el tráfico web y extraer archivos de forma silenciosa. En resumen, tiene una gama de capacidades que ayudan a los atacantes a saber todo lo que está sucediendo en un equipo víctima y más allá.
“Curiosamente, Moker no necesariamente tiene que ser controlado de forma remota”, encontraron los investigadores. “Una característica del RAT es un panel de control que permite al atacante controlar el malware a nivel local”.
Esto hace que Moker también sea un troyano de acceso local (LAT). “Creemos que esta característica se agregó posiblemente para que un atacante suplante a un usuario legítimo (por ejemplo, ingresando vía VPN a la empresa para luego manejar Moker localmente) o se insertó por el autor del malware para realizar pruebas pero permaneció también en la versión de producción”, señalaron.
Las capacidades de evasión de detección de Moker incluyen código de empaquetado y una instalación en dos etapas (primero un instalador que “prepara” las máquinas y evade las sandboxes y después la carga útil maliciosa cifrada).
Los antivirus y protección antimáquinas virtuales también están incluidos, el malware es capaz de pasar el Control de Acceso de Usuarios (UAC) de Windows, explotando un fallo de diseño conocido.
A diferencia de la mayoría del malware, Moker obtiene privilegios del sistema.
Las medidas usadas por el malware contra la investigación se detallan en esta publicación de blog de Yotam Gottesman de enSilo:
http://breakingmalware.com/malware/moker-part-1-dissecting-a-new-apt-under-the-microscope/
que compartió paso a paso el proceso usado para evadirlas.
Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2531
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.