&#39ObliqueRAT&#39 ahora se esconde detrás de imágenes en comprometido …



&#39Clear Tribe&#39 ha cambiado sus tácticas para distribuir el troyano de acceso remoto, encontraron los investigadores.

En el último ejemplo de los actores de amenazas que cambian rápidamente de marcha cuando sus métodos se descubren y se exponen públicamente, el operador del troyano de acceso remoto ObliqueRAT ha cambiado ahora sus tácticas de infección.

Investigadores de Cisco Talos descubrieron recientemente que el llamado grupo de ataque Tribu Transparente detrás de ObliqueRAT está utilizando documentos maliciosos de Microsoft Business para señalar a los usuarios los sitios net comprometidos que albergan su carga útil maliciosa. En campañas anteriores, los atacantes habían utilizado los documentos de Business office armados para colocar ObliqueRAT directamente en el sistema de la víctima. Pero ahora está ocultando el malware en archivos de imagen aparentemente benignos en sitios website comprometidos y utilizando los documentos de Business envenenados simplemente para dirigir a las víctimas a la carga útil.

La esteganografía, que oculta código malicioso dentro de una imagen, no es nueva. Pero el investigador de amenazas de Cisco Talos, Asheer Malhotra, dice que esta técnica de usar documentos maliciosos para señalar a los usuarios cargas útiles en archivos de imagen no es muy común. «El hecho de que este actor de amenazas ahora esté usando esta técnica, que nunca antes había usado, es interesante», dice Malhotra. «Esto muestra que los actores están constantemente diseñando nuevas técnicas de infección y desarrollando sus capacidades con un enfoque en el sigilo».

ObliqueRAT es un troyano que se ha asociado con campañas dirigidas a organizaciones en el sur de Asia. El malware está equipado para espiar principalmente a los usuarios, incluso a través de la cámara world wide web del sistema. Puede tomar capturas de pantalla, robar archivos y brinda a los atacantes la capacidad de entregar contenido malicioso y ejecutar comandos arbitrarios en sistemas comprometidos. Proofpoint, Kaspersky, y otros que también han estado rastreando al grupo dicen que Transparent Tribe es una APT muy activa que ha estado operativa desde al menos 2013 y apunta principalmente a objetivos militares indios y oficinas diplomáticas, incluidas las con sede en Arabia Saudita y Kazajstán.

Malhotra dice que los investigadores de Cisco Talos no han podido determinar exactamente cómo los atacantes están entregando los documentos maliciosos de Microsoft Office environment a las víctimas. Una posibilidad es que lo estén distribuyendo a través de un vector de infección basado en el correo electrónico, que es la forma en que se distribuye la mayoría del malware en estos días. Otra posibilidad es que el atacante esté utilizando URL para entregar los documentos maliciosos en lugar de archivos adjuntos de correo electrónico.

Una vez que el documento malicioso está en un sistema, los atacantes simplemente necesitan engañar a la víctima para que abra el documento. Una macro maliciosa dentro del documento se activa cuando se cierra el documento. «La macro buscará y decodificará la carga útil maliciosa de ObliqueRAT de un sitio internet comprometido», dice Malhotra. «Luego, ObliqueRAT se ejecuta en el punto remaining de destino utilizando un atajo malicioso creado por la macro en el directorio de inicio del usuario actualmente conectado».

Malhotra dice que Cisco Talos tampoco está seguro de los métodos que los atacantes podrían estar usando para comprometer sitios world-wide-web y plantar un archivo de imagen envenenado con la carga útil de ObliqueRAT. Los posibles vectores de infección podrían incluir todo, desde credenciales débiles fáciles de adivinar hasta exploits conocidos que golpean plataformas de alojamiento desactualizadas y sin parches.

Esta misma semana, Sophos informó sobre otro actor de amenazas que probablemente usaba técnicas similares para violar sitios world wide web vulnerables e inyectar contenido. Los atacantes engañan a los motores de búsqueda para que traten el sitio infectado como una fuente confiable En esa campaña, también, el actor de amenazas ha estado evolucionando constantemente el malware y la técnica de distribución de malware para intentar mantenerse un paso por delante de los defensores.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first