Los nuevos tipos de ratas, o troyanos de acceso remoto, aparecerá con más frecuencia que nunca antes. Este tipo de troyanos se emplean normalmente en ataques dirigidos contra las empresas, organizaciones y gobiernos. Una de las últimas RAT, descubierto por la Ingeniería de Seguridad Arbor & Equipo de Respuesta (ASERT) en Arbor Networks, ha iniciado campañas maliciosas en el sudeste de Asia. Un RAT similar fue detectada previamente en un ataque contra el gobierno de Myanmar. El equipo de la piratería detrás de esos ataques ha sido identificado por el Grupo de Talos de Cisco como Grupo 27.
Más información sobre las RAT, Los ataques corporativos y de respuesta a incidentes:
¿Cómo se lleva a cabo el ataque?
Riego de ataques agujero se llevaron a cabo en los sitios web oficiales del gobierno. Como resultado, los usuarios que visitan las páginas de acceso a información sobre las próximas elecciones fueron infectadas con PlugX - una rata muy conocida y utilizada en múltiples ataques a lo largo 2015.
El hecho de que los ataques contra el gobierno de Myanmar fueron revelados no ha dejado de Grupo 27. Según los últimos informes de Equipo de Respuesta de Arbor (ASERT) un nuevo troyano de acceso remoto, asociado con las actividades del grupo ha sido liberado. Durante el tiempo de análisis, la nueva RAT no se detectó por la mayoría de fabricantes de antivirus. Esto demuestra que esta nueva pieza hecha a mano para el espionaje cibernético es bastante sofisticada. Se ha doblado de Trochilus.
Lo que es específico acerca de Trochilus?
RATA El último grupo de 27 incluye un total de seis ejemplares de malware, combinado en diferentes variaciones de acuerdo con los datos dirigidos por los criminales.
ASERT expertos nombrados toda la colección de malware los Siete daga apuntando. Consiste en:
- Dos versiones RAT trochilus;
- Una versión de la 3012 variante de la 9002 RATA;
- Una versión EvilGrab RAT;
- Una pieza de malware desconocido aún por identificar.
Los analistas de seguridad creen que el Grupo 27 no se preocupan mucho sobre el hecho de que se ha detectado su campaña inicial de espionaje cibernético. Además, el grupo continuó infectando a las víctimas a través de la misma entrada - el sitio web de la Comisión Electoral Myanmar.
Trochilus código fuente RAT subido en GitHub
A pesar de que la rata fue diseñado para ejecutar en la memoria de la máquina (eludiendo así la detección por software AV), ASERT investigadores obtuvieron código fuente de la rata y se conectan a un perfil de GitHub de un usuario llamado 5loyd.
En la página de GitHub, la rata ha sido anunciada como una herramienta de administración remota de Windows rápida y gratuita. Otros detalles incluyen:
- Escrito en CC +;
- Es compatible con varios protocolos de comunicación;
- Tiene un módulo de administrador de archivos, un shell remoto, un modo de no UAC;
- Capaz de desinstalar propio;
- Capaz de cargar información desde máquinas remotas;
- Capaz de descargar un ejecutar archivos.
Los investigadores creen que 5loys no es una parte del Grupo 27. Más como, el perfil del usuario ha sido secuestrado por el grupo y utilizado para sus propios fines.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: