Identificado RAT direcionado a indústria de videogames

Compartilhar:

A Unit 42, unidade de pesquisa da Palo Alto Networks, descobriu um novo RAT (sigla em inglês para Trojan de Acesso Remoto) customizado e usado para atacar pessoas e empresas na Coreia do Sul e a indústria de games.

 

Denominado UBoatRAT, a ferramenta maliciosa pode controlar computadores à distância. Os ataques usam o Google Drive para distribuir o Malware, endereços de C2 do GitHub (popular plataforma online para desenvolvedores) e ainda usa o BITS (Background Intelligent Transfer Service, componente do Microsoft Windows) para manter a persistência do ataque.

 

 

Distribuição

 

Várias versões do UBoatRAT eram distribuídas pelo arquivo ZIP baixado do Google Drive, como mostra a figura acima.

 

O arquivo continha executáveis maliciosos disfarçados de pastas e planilhas do Microsoft Excel. Quando executado, o malware verifica softwares de virtualização e obtém nome do domínio e parâmetros de rede. Se a virtualização é detectada, o RAT é interrompido e mostra uma falsa mensagem de erro à vítima.

 

Ataque persistente e C2

 

O UBoatRAT usa um serviço de transferência de arquivos entre máquinas do Windows, o BITS – usado inclusive pelo sistema de atualização do próprio sistema operacional. O malware se aproveita de uma das opções de execução para assegurar seu funcionamento, mesmo após uma reinicialização do dispositivo infectado.

 

Os criminosos por trás do ataque esconderam o endereço do servidor de comando e controle às portas de destino em um arquivo hospedado no GitHub, usando uma URL acessada pelo RAT para se comunicar com o servidor do atacante e controlar a máquina da vítima. Uma das linhas de programação se referia a “Rudeltaktik”, um termo militar alemão que descreve a estratégia de submarinos durante a Segunda Guerra Mundial – daí seu nome “UBoat”RAT (do alemão U-Boot, submarino).

 

Além da URL no GitHub, também foram identificadas amostras conectadas a um blog em Hong Kong e web server comprometido no Japão.

 

A conta do blog estava identificada como “elsa_kr” e existe desde abril de 2016. No GirHub a conta pertencia ao usuário “elsa999”, que frequentemente atualizava arquivos com o propósito de testar diferentes amostras do UBoatRAT.

 

Conclusão

 

Embora a versão mais recente do UBoatRAT tenha sido lançada em setembro, a Unit 42 notou várias atualizações na conta elsa999 no GitHub em outubro. O autor parece estar desenvolvendo ou testando vigorosamente a ameaça. A Unit 42 continua a monitorar esta atividade para atualizações.

 

Para acessar o relatório completo (em inglês), clique aqui.

 

Conteúdos Relacionados

Security Report | Overview

Qual o impacto transformador da IA Agêntica nos SOCs?

A IA é cada vez mais usada por adversários em campanhas de engenharia social. Ao mesmo tempo, ataques a ambientes...
Security Report | Overview

Serpro entrega Segurança de dados e infraestrutura digital para a Cúpula do BRICS

Estatal de inteligência em governo digital garante credenciamento, proteção de dados e suporte tecnológico no encontro que reúne autoridades de...
Security Report | Overview

Maiores desafios das PMEs em Cibersegurança são ransomware, IA e conectividade, alerta análise

Os especialistas destacam como a combinação de conectividade avançada e cibersegurança pode proteger e impulsionar pequenos negócios na era da...
Security Report | Overview

Estudo detecta grupo de espionagem focado em governo, tecnologia e manufatura no Brasil

A ISH Tecnologia publica análise sobre arsenal cibernético usado por grupo ligado ao Estado chinês