Un actor de amenazas desconocido ha estado apuntando a entidades rusas con un troyano de acceso remoto recientemente descubierto llamado rata leñosa durante al menos un año como parte de una campaña de spear-phishing.
Se dice que la puerta trasera personalizada avanzada se entrega a través de cualquiera de dos métodos: archivos de archivo y documentos de Microsoft Office que aprovechan la vulnerabilidad de la herramienta de diagnóstico de soporte «Follina» ahora parcheada (CVE-2022-30190) en Windows.
Al igual que otros implantes diseñados para operaciones orientadas al espionaje, Woody RAT presenta una amplia gama de características que permiten al actor de amenazas requisar y robar información confidencial de forma remota de los sistemas infectados.
«Las primeras versiones de esta RAT generalmente se archivaban en un archivo ZIP que pretendía ser un documento específico de un grupo ruso», los investigadores de Malwarebytes Ankur Saini y Hossein Jazi. dijo en un informe del miércoles.
«Cuando la vulnerabilidad de Follina se dio a conocer en el mundo, el actor de amenazas cambió a ella para distribuir la carga útil».
En un caso, el grupo de piratas informáticos intentó atacar una entidad aeroespacial y de defensa rusa conocida como ROBLE basado en evidencia obtenida de un dominio falso registrado para este propósito.
Los ataques que aprovechan la falla de Windows como parte de esta campaña salieron a la luz por primera vez el 7 de junio de 2022, cuando investigadores del MalwareHunterTeam revelado el uso de un documento llamado «Памятка.docx» (que se traduce como «Memo.docx») para entregar una carga CSS que contiene el troyano.
El documento supuestamente ofrece las mejores prácticas de seguridad para contraseñas e información confidencial, entre otros, mientras actúa como señuelo para dejar caer la puerta trasera.
Además de cifrar sus comunicaciones con un servidor remoto, Woody RAT está equipado con capacidades para escribir archivos arbitrarios en la máquina, ejecutar malware adicional, eliminar archivos, enumerar directorios, capturar capturas de pantalla y recopilar una lista de procesos en ejecución.
También están incrustadas dentro del malware dos bibliotecas basadas en .NET llamadas WoodySharpExecutor y WoodyPowerSession que se pueden usar para ejecutar código .NET y comandos de PowerShell recibidos del servidor, respectivamente.
Además, el malware hace uso de la técnica de proceso de vaciado para inyectarse en un proceso de Bloc de notas suspendido y eliminarse del disco para evadir la detección del software de seguridad instalado en el host comprometido.
Malwarebytes aún tiene que atribuir los ataques a un actor de amenazas específico, citando la falta de indicadores sólidos que vinculen la campaña a un grupo previamente conocido, aunque los colectivos de estados-nación chinos y norcoreanos han apuntado a Rusia en el pasado.