Investigadores da Cisco Talos descobriram um novo Remote Access Trojan (RAT) batizado como CannibalRat e que foi escrito em Python na sua totalidade.

O CanibalRAT RAT está a ser usado em ataques altamente direcionados. Os investicadores explicaram que, mesmo que não seja um RAT muito sofisticado, exibe sinais de canibalismo do ponto de vista do código fonte.

“The RAT itself is not very sophisticated, and exhibits signs of code cannibalisation from other open-source projects, which contrasts with the command-and-control, using fast flux to keep hidden, even if the endpoints are not very diversified.” reads the analysis published by Talos.

 

Os investigadores observaram o envolvimento de pelo menos duas variantes (versões 3.0 e 4.0) em ataques direcionados.

cannibalrat-activity

 

Os dois samples foram escritos em Python e empacotados através da ferramenta pyexe que permite gerar Portable Executable (PE) Files para  que seja possível a sua execução no SO Windows.

De acordo com os investigadores, a versão 4.0 é uma versão simplificada, isso significa que os vxers removeram do código principal alguns recursos, de qualquer forma os autores tentaram adicionar técnicas de ofuscação para evitar a sua detecção.

A versão 4.0 inclui ainda uma função que irá gerar cadeias aleatórias na memória na tentativa de tornar a análise forense da memória mais difícil.

“The malware main script bytecode is stored in a portable executable (PE) section called PYTHONSCRIPT, while the Python DLL is stored in a section called PYTHON27.DLL. All the remaining modules’ bytecode is compressed and stored in the executable overlay.” continues the analysis.

A primeira variante do malware foi detectada em 8 de janeiro, de qualquer forma, a Cisco Talos identificou um aumento significativo do CannibalRAT após a variante 4.0 ter surgido, nomeadamente a 5 de fevereiro de 2018.

Ambas as variantes usam o codificador Base16 para ofuscar nomes de host e as mensagens trocadas com o servidor C&C (command and control server).

“The command-and-control infrastructure attempts to use the fast flux technique to hide, although the name servers are changing with high frequency, and the end points tend to be the same, all belonging to a telecom provider in Brazil with the autonomous system number AS 7738 and shared among all four command-and-control hostnames.” states Cisco Talos.

 

O CannibalRAT “toma emprestado” os módulos do Radium-Keylogger, que possui o código fonte publicado no Github. Os investigadores também perceberam que a feature para detecção de VM foi copiado de um repositório Github diferente.

“The malware’s modules have self-explanatory names: runcmd, persistence, download, upload, screenshot, miner, DDoS, driverfind, unzip, ehidden, credentials, file, zip, python, update, and vm.” continues the analysis.”All are present in version 3.0, while version 4.0 lacks the distributed denial of service, miner, Python and update modules, as well as the ability to steal credentials from Firefox (it only works with Chrome).” 

 

Os investigadores anunciaram que a versão 4.0 não usa módulos, em vez disso, todo o código fonte está incluído no script principal.