Ερευνητές ασφαλείας εντόπισαν μια νέα καμπάνια που στοχεύει χρηματοπιστωτικά ιδρύματα και κυβερνητικούς οργανισμούς με μια προσαρμοσμένη έκδοση ενός remote access tool που ονομάζεται “Proyecto RAT”.
Το ωφέλιμο φορτίο χρησιμοποιεί το Yopmail, την υπηρεσία ηλεκτρονικής διεύθυνσης μιας χρήσης, για την C & C επικοινωνία. Το yopmail είναι γνωστό για τη δημιουργία προσωρινών εισερχομένων.
Διαδικασία μόλυνσης
Σύμφωνα με την έκθεση της Trend Micro, η επίθεση απευθύνεται πρωτίστως στους οργανισμούς της περιοχής της Νότιας Αμερικής, ιδιαίτερα στην Κολομβία. Η μόλυνση ξεκινά με ένα προσαρμοσμένο email που αποστέλλεται στο στόχο από ανοικτούς ή παραβιασμένους mail servers στην περιοχή της Νότιας Αμερικής.
Το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει ένα RTF attachment file και δελεαστικό μήνυμα για να τραβήξει την προσοχή των χρηστών.
Το συνημμένο περιέχει shorten links που κατευθύνουν τα θύματα σε υπηρεσίες κοινής χρήσης αρχείων. Το delivery file είναι ένα macro-enabled MHTML file. Το macrocode είναι υπεύθυνο για τη λήψη και την εκτέλεση του ωφέλιμου φορτίου, του Immediate Monitor RAT.
Το Monitor RAT παρακολουθεί όλες τις δραστηριότητες του δικτύου και περιλαμβάνει πληροφορίες για την εκτέλεση του δεύτερου σταδίου του ωφέλιμου φορτίου. Το Imminent Monitor RAT υποστηρίζει ένα ευρύ φάσμα δραστηριοτήτων παρακολούθησης που περιλαμβάνουν κατασκοπεία σε πληκτρολόγια, μεταφορά αρχείων, λήψη στιγμιότυπων οθόνης και εγγραφή ήχου.
Το δεύτερο στάδιο του ωφέλιμου φορτίου είναι το “Proyecto RAT” το οποίο χρησιμοποιεί το yopmail email service για την C & C επικοινωνία.
Το κακόβουλο λογισμικό συνδέεται με ένα mailbox, διαβάζει το μόνο διαθέσιμο μήνυμα ηλεκτρονικού ταχυδρομείου, το αναλύει και στη συνέχεια εξάγει το θέμα του μηνύματος ηλεκτρονικού ταχυδρομείου.
Οι ερευνητές πιστεύουν ότι το “Proyecto RΑT” είναι είτε μια παλιά και περιορισμένη έκδοση του Xpert RAT είτε μια προσαρμοσμένη τροποποίηση του Xpert RAT είτε ένα malware με πηγαίο κώδικα βασισμένο στο Xpert RAT.
