El troyano PoetRAT apunta al sector energético utilizando señuelos de coronavirus


Los sectores del gobierno y la energía están siendo atacados en una nueva campaña que arma el coronavirus brote.

El jueves, los investigadores de Cisco Talos Warren Mercer, Paul Rascagneres y Vitor Ventura publicado un análisis de una nueva campaña que despliega PoetRAT, un troyano de acceso remoto (RAT) no descubierto previamente que afecta tanto al gobierno de Azerbaiyán como a las empresas de servicios públicos.

Según el equipo, el malware ataca los sistemas de control de supervisión y adquisición de datos (SCADA), comúnmente utilizados para administrar redes de energía y sistemas de fabricación.

En este caso, los sistemas ICS y SCADA relacionados con las turbinas de vino dentro del sector de las energías renovables parecen ser de interés para los actores de la amenaza detrás de la campaña, cuyas identidades se desconocen actualmente.

Talos dice que las víctimas previstas reciben correos electrónicos de phishing con documentos maliciosos de Microsoft Word adjuntos. Se han detectado tres intentos de phishing por separado, incluido un documento con la etiqueta «C19.docx», probablemente una referencia a la pandemia de COVID-19 así como contenido que dice ser de departamentos del gobierno de Azerbaiyán y del Ministerio de Defensa de la India.

«Creemos que los adversarios, en este caso, quieren apuntar a los ciudadanos del país Azerbaiyán, incluidas las empresas privadas en el sector SCADA, como los sistemas de turbinas eólicas», dicen los investigadores.

Si se abre, un dropper se ejecuta mediante la habilitación de macros maliciosas para implementar PoetRAT, llamado así debido a las referencias en el código al dramaturgo William Shakespeare.

Ver también: Este troyano secuestra su teléfono inteligente para enviar mensajes de texto ofensivos

En lugar de cargarse directamente como un ejecutable, el malware se escribe en el disco como un archivo llamado «smile.zip». El archivo .zip contiene un script e intérprete de Python y la macro de Term verificará si hay un entorno de sandbox, suponiendo que los discos duros de sandbox serán más pequeños que 62GB, antes de la extracción. Si se detecta un entorno de sandbox, el malware se sobrescribe y se elimina.

Escrito en Python, el troyano se compone de dos scripts principales. El primero, «frown.py», se utiliza para comunicarse con el servidor de comando y management (C2) del malware. El cifrado TLS se utiliza para enviar información desde una máquina infectada a los operadores del troyano.

La segunda secuencia de comandos, «smile.py», ejecuta una variedad de otros comandos, como la lista de directorios, la filtración de información de la Pc, la captura de pantalla, la copia, el movimiento y el archivado de contenido, la carga de archivos robados y la eliminación, eliminación o finalización de procesos. También es posible que PoetRAT tome el control de cámaras world-wide-web y gown contraseñas.

CNET: Invertir y ahorrar durante el coronavirus: esto es lo que debe priorizar

Una herramienta interesante notada por los investigadores es canine.exe, un módulo de malware .Internet que monitorea las rutas del disco duro y extrae automáticamente los datos a través de una cuenta de correo electrónico o FTP.

Para mantener la persistencia, el malware crea claves de registro y puede realizar modificaciones en el registro para evitar las comprobaciones de evasión de sandbox.

«Esto podría usarse para hosts ya infectados para garantizar que no vuelvan a verificar este entorno», dice Talos.

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

Además de la ola principal de ataque troyano, el equipo también encontró un sitio website de phishing alojado en la misma infraestructura que imita el sistema de correo world wide web del gobierno de Azerbaiyán.

«El actor monitoreó directorios específicos, señalando que querían filtrar cierta información sobre las víctimas», dice Talos. «Según nuestra investigación, los adversarios pueden haber querido obtener credenciales importantes de los funcionarios del gobierno de Azerbaiyán. El atacante no solo quería información específica obtenida de las víctimas, sino también un caché completo de información relacionada con su víctima».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique