El troyano de acceso remoto de código abierto conocido como RATA cuásar Se ha observado que aprovecha la carga lateral de DLL para pasar desapercibido y desviar sigilosamente datos de hosts de Windows comprometidos.
«Esta técnica aprovecha la confianza inherente que estos archivos generan dentro del entorno Windows», afirman los investigadores de Uptycs Tejaswini Sandapolla y Karthickkumar Kathiresan. dicho en un informe publicado la semana pasada, que detalla la dependencia del malware en ctfmon.exe y calc.exe como parte de la cadena de ataque.
También conocido con los nombres CinaRAT o Yggdrasil, Quasar RAT es una herramienta de administración remota basada en C# capaz de recopilar información del sistema, una lista de aplicaciones en ejecución, archivos, pulsaciones de teclas, capturas de pantalla y ejecutar comandos de shell arbitrarios.
La carga lateral de DLL es una popular técnica adoptado por muchos actores de amenazas para ejecutar sus propias cargas útiles colocando un archivo DLL falsificado con un nombre que se sabe que está buscando un ejecutable benigno.
«Es probable que los adversarios utilicen la carga lateral como medio para enmascarar las acciones que realizan bajo un sistema o proceso de software legítimo, confiable y potencialmente elevado», MITRE notas en su explicación del método de ataque.
El punto de partida del ataque documentado por Uptycs es un archivo de imagen ISO que contiene tres archivos: un binario legítimo llamado ctfmon.exe renombrado como eBill-997358806.exe, un archivo MsCtfMonitor.dll renombrado como monitor.ini y un archivo malicioso. MsCtfMonitor.dll.
«Cuando se ejecuta el archivo binario ‘eBill-997358806.exe’, inicia la carga de un archivo titulado ‘MsCtfMonitor.dll’ (nombre enmascarado) a través de una técnica de carga lateral de DLL, dentro de la cual se oculta el código malicioso», dijeron los investigadores. .
El código oculto es otro ejecutable «FileDownloader.exe» que se inyecta en Regasm.exela herramienta de registro de ensamblaje de Windows, para iniciar la siguiente etapa, un archivo calc.exe auténtico que carga el Secure32.dll fraudulento nuevamente a través de la carga lateral de DLL y lanza la carga útil final de Quasar RAT.
El troyano, por su parte, establece conexiones con un servidor remoto para enviar información del sistema e incluso configura un proxy inverso para el acceso remoto al punto final.
La identidad del actor de la amenaza y el vector de acceso inicial exacto utilizado para llevar a cabo el ataque no están claros, pero es probable que se difunda a través de correos electrónicos de phishing, lo que hace imperativo que los usuarios estén alerta ante correos electrónicos, enlaces o archivos adjuntos dudosos. .