Microsoft ha emitido recientemente una alerta sobre una herramienta de acceso remoto (RAT) que se denomina RavengeRAT, que se ha utilizado para dirigirse a los sectores aeroespacial y de viajes con correos electrónicos de spear-phishing.

RevengeRAT también se conoce como AsyncRAT y se distribuye a través de mensajes de correo electrónico cuidadosamente elaborados que solicita a los empleados que abran un archivo disfrazado de archivo adjunto de Adobe PDF. La verdad es que este archivo en realidad descarga un archivo visual básico (VB) malicioso.

foto del edificio de Microsoft

La empresa de seguridad conocida como Morphisec se quedó atrás de las dos RAT como parte de este sofisticado Cyber-as-a-Service que ofrece múltiples familias de RAT.

Según Microsoft, los correos electrónicos de phishing son capaces de distribuir un cargador que puede entregar REvengeRAT o AsyncRAT. Morphisec también dijo que entrega la RAT Agent Tasla.

Microsoft dijo lo siguiente:
La campaña utiliza correos electrónicos que falsifican organizaciones legítimas, con señuelos relevantes para la aviación, los viajes o la carga. Una imagen que se hace pasar por un archivo PDF contiene un enlace incrustado (normalmente abusando de servicios web legítimos) que descarga un VBScript malicioso, que elimina las cargas útiles de RAT.

Morphisec ha nombrado al servicio de cifrado “Snip3” basándose en un token de nombre de usuario del malware que encontró en variantes anteriores.

Snip3 se ha configurado para no cargar un RAT si termina detectando que se ha ejecutado dentro del Windows Sandbox, que es una función de seguridad de la máquina virtual que fue introducida por Microsoft en 2019. El Windows Sandbox está destinado a permitir que los usuarios avanzados ejecuten potencialmente ejecutables maliciosos dentro de un entorno de espacio aislado seguro que no afectará en absoluto al sistema operativo del host.

Morphisec tenía lo siguiente para indicar: Si está configurado por [the attacker], PowerShell implementa funciones que intentan detectar si el script se ejecuta dentro de los entornos Microsoft Sandbox, VMWare, VirtualBox o Sandboxie. Si la secuencia de comandos identifica uno de esos entornos de máquina virtual, la secuencia de comandos termina sin cargar la carga útil de RAT.

Pero si las RAT están instaladas, se conectan a un servidor de comando y control (C2) e incluso descargar más malware de sitios de pegado como pastebin.com.

No es bueno encontrarlos en ningún sistema, ya que se sabe que roban credenciales, videos e imágenes de una cámara web, y cualquier cosa que se haya copiado en el portapapeles del sistema para pegar en otro lugar.

El equipo de Microsoft Security Intelligence dijo: Las RAT se conectan a un servidor C2 alojado en un sitio de hosting dinámico para registrarse con los atacantes, y luego usan un PowerShell codificado en UTF-8 y técnicas sin archivos para descargar tres etapas adicionales de pastebin.[.]com o sitios similares. Los troyanos vuelven a ejecutar componentes continuamente hasta que pueden inyectarlos en procesos como RegAsm, InstallUtil o RevSvcs. Roban credenciales, capturas de pantalla y datos de cámaras web, datos del navegador y del portapapeles, sistema y red, y extraen datos a menudo a través del puerto SMTP 587.

Microsoft publicó en GitHub consultas de búsqueda avanzadas que los equipos de seguridad pueden potencialmente demandar si terminan detectando alguna de estas amenazas en su red.

Seguir Hosting mas barato en Facebook.