Indústria de games é alvo de ataques direcionados

0

A Unit 42, unidade de pesquisa da Palo Alto Networks, descobriu um novo RAT (sigla em inglês para Trojan de Acesso Remoto) customizado e usado para atacar pessoas e empresas na Coréia do Sul e a indústria de games.

Denominado UBoatRAT, a ferramenta maliciosa pode controlar computadores à distância. Os ataques usam o Google Drive para distribuir o Malware, endereços de C2 do GitHub (popular plataforma online para desenvolvedores) e ainda usa o BITS (Background Intelligent Transfer Service, componente do Microsoft Windows) para manter a persistência do ataque.

Várias versões do UBoatRAT eram distribuídas pelo arquivo ZIP baixado do Google Drive, como mostra a figura acima.

O arquivo continha executáveis maliciosos disfarçados de pastas e planilhas do Microsoft Excel. Quando executado, o malware verifica softwares de virtualização e obtém nome do domínio e parâmetros de rede. Se a virtualização é detectada, o RAT é interrompido e mostra uma falsa mensagem de erro à vítima.

O UBoatRAT usa um serviço de transferência de arquivos entre máquinas do Windows, o BITS – usado inclusive pelo sistema de atualização do próprio sistema operacional. O malware se aproveita de uma das opções de execução para assegurar seu funcionamento, mesmo após uma reinicialização do dispositivo infectado.

Os criminosos por trás do ataque esconderam o endereço do servidor de comando e controle às portas de destino em um arquivo hospedado no GitHub, usando uma URL acessada pelo RAT para se comunicar com o servidor do atacante e controlar a máquina da vítima. Uma das linhas de programação se referia a "Rudeltaktik", um termo militar alemão que descreve a estratégia de submarinos durante a Segunda Guerra Mundial – daí seu nome "UBoat"RAT (do alemão U-Boot, submarino).

Além da URL no GitHub, também foram identificadas amostras conectadas a um blog em Hong Kong e web server comprometido no Japão.

A conta do blog estava identificada como "elsa_kr" e existe desde abril de 2016. No GirHub a conta pertencia ao usuário "elsa999", que frequentemente atualizava arquivos com o propósito de testar diferentes amostras do UBoatRAT.

Embora a versão mais recente do UBoatRAT tenha sido lançada em setembro, a Unit 42 notou várias atualizações na conta elsa999 no GitHub em outubro. O autor parece estar desenvolvendo ou testando vigorosamente a ameaça. A Unit 42 continua a monitorar esta atividade para atualizações.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.