Quasar RAT aprovecha la carga lateral de DLL para pasar desapercibido


23 de octubre de 2023Sala de redacciónCiberataque / Malware

El troyano de acceso remoto de código abierto conocido como RATA cuásar Se ha observado que aprovecha la carga lateral de DLL para pasar desapercibido y desviar sigilosamente datos de hosts de Windows comprometidos.

“Esta técnica aprovecha la confianza inherente que estos archivos generan dentro del entorno Windows”, afirman los investigadores de Uptycs Tejaswini Sandapolla y Karthickkumar Kathiresan. dicho en un informe publicado la semana pasada, que detalla la dependencia del malware en ctfmon.exe y calc.exe como parte de la cadena de ataque.

También conocido con los nombres CinaRAT ​​o Yggdrasil, Quasar RAT es una herramienta de administración remota basada en C# capaz de recopilar información del sistema, una lista de aplicaciones en ejecución, archivos, pulsaciones de teclas, capturas de pantalla y ejecutar comandos de shell arbitrarios.

La seguridad cibernética

La carga lateral de DLL es una popular técnica adoptado por muchos actores de amenazas para ejecutar sus propias cargas útiles colocando un archivo DLL falsificado con un nombre que se sabe que está buscando un ejecutable benigno.

“Es probable que los adversarios utilicen la carga lateral como medio para enmascarar las acciones que realizan bajo un sistema o proceso de software legítimo, confiable y potencialmente elevado”, MITRE notas en su explicación del método de ataque.

RATA cuásar

El punto de partida del ataque documentado por Uptycs es un archivo de imagen ISO que contiene tres archivos: un binario legítimo llamado ctfmon.exe renombrado como eBill-997358806.exe, un archivo MsCtfMonitor.dll renombrado como monitor.ini y un archivo malicioso. MsCtfMonitor.dll.

“Cuando se ejecuta el archivo binario ‘eBill-997358806.exe’, inicia la carga de un archivo titulado ‘MsCtfMonitor.dll’ (nombre enmascarado) a través de una técnica de carga lateral de DLL, dentro de la cual se oculta el código malicioso”, dijeron los investigadores. .

La seguridad cibernética

El código oculto es otro ejecutable “FileDownloader.exe” que se inyecta en Regasm.exela herramienta de registro de ensamblaje de Windows, para iniciar la siguiente etapa, un archivo calc.exe auténtico que carga el Secure32.dll fraudulento nuevamente a través de la carga lateral de DLL y lanza la carga útil final de Quasar RAT.

El troyano, por su parte, establece conexiones con un servidor remoto para enviar información del sistema e incluso configura un proxy inverso para el acceso remoto al punto final.

La identidad del actor de la amenaza y el vector de acceso inicial exacto utilizado para llevar a cabo el ataque no están claros, pero es probable que se difunda a través de correos electrónicos de phishing, lo que hace imperativo que los usuarios estén alerta ante correos electrónicos, enlaces o archivos adjuntos dudosos. .

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57