Global Preloader
Noticia Internacional
(30/Nov/2017) Nuevo RAT personalizado alcanza objetivos en el este de Asia

Nuevo RAT personalizado alcanza objetivos en el este de Asia

Si bien los objetivos exactos no están claros en este momento, Palo Alto Networks cree que están relacionados con Corea o la industria de los videojuegos, debido al hecho de que los títulos de juegos en idioma coreano, los nombres de compañías de juegos basados en Corea y algunas palabras utilizadas en el negocio de los videojuegos se usó para la entrega.

UBoatRAT, dicen los investigadores de seguridad, realiza actividades maliciosas en la máquina comprometida solo cuando se une a un dominio de Active Directory, lo que significa que la mayoría de los sistemas de usuarios domésticos no se verán afectados, ya que no son parte de un dominio.

UBoatRAT es distribuido a través de enlaces de Google Drive, RAT obtiene su dirección de command and control (C&C) de GitHub y utiliza el Servicio de transferencia inteligente en segundo plano de Microsoft Windows (BITS) para mantener la persistencia.

Una vez que se ejecuta en una máquina comprometida, la amenaza busca software de virtualización como VMWare, VirtualBox, QEmu, y luego intenta obtener el nombre de dominio de los parámetros de red. Si detecta un entorno virtual o no puede obtener el nombre de dominio, muestra un mensaje de error falso y se cierra.

De lo contrario, UBoatRAT se copia a sí mismo en C:\programdata\svchost.exe, y crea y ejecuta C:\programdata\init.bat, después de lo cual muestra un mensaje específico y se cierra.

Los investigadores de Palo Alto han identificado catorce muestras de UBoatRAT, así como un descargador asociado con los ataques. Los investigadores también asociaron el malware con la cuenta de GitHub 'elsa999' y determinaron que el autor ha estado actualizando repositorios con frecuencia desde julio.