Alerta por la infraestructura maliciosa que distribuye EtherRAT y phishing
Publicado el
Descubrimiento de una infraestructura maliciosa
Recientes actividades de inteligencia de amenazas han llevado al descubrimiento de una infraestructura maliciosa dedicada a la distribución de EtherRAT, un malware que permite a los atacantes controlar completamente las máquinas infectadas. Este descubrimiento se realizó a través de un sitio web con una página de inicio sospechosa que albergaba una variedad de software malicioso, documentos dañinos y páginas de phishing.
¿Qué es EtherRAT?
EtherRAT es un RAT (Remote Access Trojan) desarrollado en Node.js, diseñado para otorgar a un atacante el control total sobre un dispositivo. Utiliza la blockchain de Ethereum para obtener la dirección del servidor de Control y Comando (C2), lo que contribuye a su resistencia ante intentos de toma de infraestructura. Generalmente, EtherRAT se distribuye a través de instaladores MSI, scripts de PowerShell o JavaScript.
Análisis de la infraestructura de distribución
Durante la investigación, se identificó un directorio abierto que proporcionaba instaladores MSI y scripts de PowerShell, los cuales estaban organizados en una carpeta denominada /install. Las versiones del malware variaban desde v1 hasta v10, mostrando un sistema de distribución estructurado.
La página de inicio del sitio de distribución de EtherRAT llamó la atención, lo que llevó a un análisis más profundo de la campaña. Al examinar los dominios y direcciones IP asociadas, se descubrieron más páginas con un estilo de hacking, sugiriendo una cadena de distribución más amplia que incluía phishing y otros tipos de malware.
Técnicas de evasión
Los sitios maliciosos suelen tener múltiples carpetas que contienen contenido relacionado con malware y phishing. Esto dificulta la detección por parte de escáneres automáticos y analistas de seguridad. Las páginas encontradas a menudo presentaban plantillas de empresas falsas o diseños predeterminados, lo que incrementa la complejidad en la identificación de actividades maliciosas.
Análisis técnico de EtherRAT
Los archivos MSI o scripts de PowerShell distribuidos generalmente contienen nombres de versión, como v1.msi o v2.ps1. Por ejemplo, el archivo MSI v9.msi incluye varios componentes críticos: un launcher BAT, un cargador JScript y un archivo log cifrado.
Cuando se ejecuta el MSI, se inicia el archivo KmPuGimn.cmd, que lleva a cabo diversas operaciones maliciosas, incluyendo la descarga de Node.js si no está instalado y la ejecución del código malicioso. Este proceso incluye la creación de un entorno donde se pueden ejecutar comandos arbitrarios enviados desde el servidor C2.
Funcionalidades del ataque
Una vez desplegado, EtherRAT permite a los atacantes ejecutar código JavaScript arbitrario, realizar operaciones en archivos y carpetas, modificar el registro, y exfiltrar datos de forma eficaz. Además, emplea la blockchain de Ethereum para recuperar nuevas direcciones de servidor C2, lo que complica aún más su detección y eliminación.
Conclusiones
La naturaleza resiliente y disimulada de EtherRAT, junto con su integración con la blockchain, representa una amenaza significativa para la ciberseguridad. La identificación y mitigación de este tipo de malware son cruciales para proteger sistemas y redes de potenciales ataques. La investigación continua y la colaboración en la comunidad de ciberseguridad son esenciales para contrarrestar estas amenazas emergentes.