Investigadores da Proofpoint alertam que o agente de ameaças TA505 está a utilizar um novo RAT (Remote Access Trojan) chamado tRat, que implementa uma estrutura modular escrita em Delphi.
Ta505 opera em larga escala, e está por trás outras grandes campanhas como o Locky ransomware, Jaff ransomware e Dridex banking Trojan.
A nova linha de malware foi descoberta pela primeira vez no final de setembro, quando foi distribuída por meio de documentos do Word que fazem o download do RAT.
Os criminosos estavam a utilizar documentos que abusavam da marca Norton, referenciada no subject das mensagens e que reforçavam a engenharia social, afirmando que “I have securely shared file(s) with you”.
No momento da descoberta, os investigadores não o atribuíram a um agente de ameaça específico, mas em outubro, os investigadores encontraram evidências de que a campanha teve origem no TA505.
“More recently, the group has been distributing a variety of remote access Trojans (RATs), among other information gathering, loading, and reconnaissance tools, including a previously undescribed malware we have dubbed tRat.” reads the analysis published by Proofpoint.
“tRat is a modular RAT written in Delphi and has appeared in campaigns in September and October of this year (one of them by TA505). “
Os investigadores notaram que o grupo estava envolvido na campanha de spam de 11 de outubro, os criminosos usaram os ficheiros do Microsoft Word e do Microsoft Publisher para espalhar o código malicioso.
Os hackers usaram o malware tRat para direcionar os utilizadores para organizações bancárias comerciais.
O RAT ganha persistência através da cópia do binário para um diretório na pasta AppData. Aqui é criado um ficheiro LNK no diretório Startup para fazer com que o binário seja executado toda vez que o sistema seja reiniciado.
O malware tRat comunica com o C2 através da porta TCP 80. A ligação é estabelecida através de um tunel cifrado e os dados são transmitidos em hexadecimal.
Uma vez infectado o sistema, o RAT envia parao C2 as informações do sistema, incluindo nome do computador, nome do utilizador do e ID do bot tRat.
tRat could receive a module by performing the following sequence of actions:
- Send “[GET_MODULE]”
- If “[WAIT_FOR_AUTH_INF]” is received, send AUTH_INF data
- If “[WAIT_FOR_MODULE_NAME]” is received, send module name
- The response could be one of the following:
- “[ERR_MODULE_NOT_FOUND]”
- “[ACCESS_DENIED]”
- Module length
- If module length is received, send a “[READY]”
- Receive module
- The module itself is encrypted similarly to the C&C communications, but appears to use different keys that are sent with the module
- Once decrypted, the modules are loaded as a DLL and executed using the received export name
Até ao momento, os investigadores ainda não observaram nenhum módulo entregue por um C2.
“TA505, because of the volume, frequency, and sophistication of their campaigns, tends to move the needle on the email threat landscape.”
“However, we observe these new strains carefully as they have also adopted new malware like Locky or less widely distributed malware like FlawedAmmyy at scale following similar tests. Moreover, their adoption of RATs this year mirrors a broader shift towards loaders, stealers, and other malware designed to reside on devices and provide long-term returns on investment to threat actors,” Proofpoint concludes.
Detalhes adicionais, como IoCs, estão incluídos no relatório publicado pela Proofpoint.