Los investigadores de SafeBreach notaron un troyano de acceso remoto llamado CodeRAT, que es capaz de realizar una variedad de actividades maliciosas una vez que se implementa en el sistema de destino.
Proveniente de Irán, CodeRAT está dirigido a los desarrolladores de software de habla farsi para robar su trabajo de los IDE y otra información confidencial. Esta RAT puede ser controlada por un bot de Telegram y utiliza una API pública de carga de archivos anónimos para exfiltrar los datos robados.
Un desarrollador de software de orientación RAT sofisticado
La mayoría de las veces, los troyanos de acceso remoto se implementan por dos razones principales: para robar los datos del objetivo o usarlos como puerta trasera para otras operaciones maliciosas, como ransomware.
CódigoRAT es uno de ellos, creado para robar los trabajos y otros datos confidenciales de los desarrolladores de software de habla farsi. Se dice que el código se origina en Irán y es sofisticado para robar datos por medios poco comunes: dice los investigadores de SafeBreach.
Explicando cómo funciona esto, los investigadores dijeron que el malware admite alrededor de 50 comandos como tomar capturas de pantalla, copiar contenido del portapapeles, obtener una lista de procesos en ejecución, finalizar procesos, verificar el uso de GPU, descargar, cargar, eliminar archivos y ejecutar programas.
Es útil para espiar ventanas confidenciales para herramientas como Visual Studio, Python, PhpStorm y Verilog. La implementación de CodeRAT comienza con el envío inicial de un documento de Word al destino, que incluye un exploit de Microsoft Dynamic Data Exchange (DDE).
¡Las personas desprevenidas que descarguen y ejecuten el exploit (CodeRAT) se ofrecerán al actor de amenazas, que puede realizar ataques maliciosos de forma remota desde un bot de Telegram! Como señalaron los investigadores, CodeRAT utiliza un mecanismo basado en Telegram en lugar de la configuración común habitual del servidor de comando y control.
Una vez dentro, el actor de amenazas, a través de su interfaz de usuario, enviará un comando, que se ofuscará y se enviará a cualquiera de las tres formas;
- API de bot de Telegram con proxy (sin solicitudes directas)
- Modo manual (incluye opción USB)
- Comandos almacenados localmente en la carpeta ‘myPictures’
El actor de amenazas utiliza las mismas tres formas anteriores para exfiltrar los datos robados también. Agregando a sus capacidades de robo de datos, CodeRAT puede incluso persistir entre reinicios del sistema sin realizar ningún cambio en el registro de Windows – digamos, investigadores, sin especificar cómo exactamente.
Bueno, aunque se decía que estaba dirigido a desarrolladores de software de habla farsi, el autor de CodeRAT ha publicado el código abierto del código malicioso después de que los investigadores se le acercaron, lo que ahora pone en peligro a toda la comunidad.
