Moker RAT

Moker, un nuevo troyano de acceso remoto dirigido a máquinas con Windows, puede mitigar eficazmente las medidas de seguridad y otorgar a un atacante acceso completo al sistema.

Los investigadores advirtieron que la última APT para hacer las rondas presenta un troyano de acceso remoto que puede mitigar de manera efectiva las medidas de seguridad en las máquinas y otorgar al atacante acceso completo al sistema.

Los expertos de la empresa israelí de seguridad cibernética enSilo descubrieron que la RAT, a la que se refieren como Moker, acechaba dentro de una de las redes de sus clientes, pero admiten que no están seguros de cómo llegó allí.

De hecho, Yotam Gottesman, investigador de seguridad senior de la empresa, cree que se sabía poco sobre el malware hasta que lo encontraron, y señaló que Moker aún no ha aparecido en VirusTotal.

Quizás eso se deba a que la RAT, que se dirige a las máquinas con Windows, es especialmente hábil cuando se trata de no ser atrapado.

Según los investigadores, Moker puede eludir el antivirus, el sandboxing, las máquinas virtuales y, al explotar un defecto de diseño, el Control de cuentas de usuario, la función de Windows que se supone debe avisar a los usuarios cuando un programa realiza un cambio que requiere permiso de nivel de administrador. El malware aparentemente incluso aplica técnicas de anti-depuración después de que ha sido detectado para ayudar a evitar la disección de malware y engañar aún más a los investigadores.

“Las medidas de detección y evasión [de Moker] incluían cifrarse a sí mismo y una instalación de dos pasos”.

“Las medidas para protegerse de la disección póstuma incluyeron evadir las técnicas de depuración que utilizan los investigadores, la adición de código complejo y la adición intencionada de instrucciones para llevar a los investigadores en la dirección equivocada”.

Una vez integrado en un sistema, el RAT podría causar un verdadero dolor de cabeza a los usuarios. Un atacante podría más o menos tomar el control total del dispositivo para tomar capturas de pantalla, registrar el tráfico web, oler las pulsaciones de teclas y exfiltrar archivos. También podrían aprovechar el malware para crear nuevas cuentas de usuario, modificar la configuración de seguridad del sistema e inyectar código malicioso durante el tiempo de ejecución en la máquina.

No está claro exactamente quién está detrás del malware; enSilo señala que el malware se comunicó con un servidor en Montenegro, una pequeña nación balcánica que limita con Serbia y Kosovo, pero admite que esto probablemente se hizo para confundir a los investigadores y a las fuerzas del orden.

Además de las medidas que se toman para evitar la detección, otra cosa interesante sobre el malware es que no necesariamente necesita comunicarse con un servidor de comando y control externo para cumplir con sus órdenes. En cambio, el malware puede recibir comandos localmente a través de un panel de control oculto.

Los investigadores asumen que la funcionalidad se integró en la RAT para que un atacante pudiera usar una VPN en el sistema al que apuntan y extraer las cadenas desde allí, pero reconocen que el autor también podría haber insertado la función con fines de prueba.

Si bien enSilo afirma que Moker podría haber sido algo único, la firma no descarta la posibilidad de que otras RAT puedan tomar prestadas técnicas similares más adelante.

Sin embargo, vemos que los autores de malware adoptan técnicas utilizadas por otros autores. No nos sorprenderá si vemos futuras APT utilizando medidas similares a las que utilizó Moker ( como eludir los mecanismos de seguridad y las técnicas de disección).

Entradas relacionadas

Dejar un Comentario