AT&T ha detectado un nuevo troyano de acceso remoto (RAT) que se lo ha llamado FatalRAT. El malware se está extendiendo a través de una variedad de foros y canales de Telegram. El enlace de malware está oculto en los enlaces de descarga de software y artículos multimedia. FatalRAT es una pieza sofisticada de malware tanto en su comportamiento como en las capacidades que ofrece a un atacante.
Lo que distingue a FatalRAT es la cantidad de pruebas que realiza antes de instalarse en la máquina de la víctima. Busca la existencia de máquinas virtuales y el registro de Windows. Es probable que la verificación de las máquinas virtuales garantice que no se haya descargado el malware desde una SandBox.
Cuando el objetivo pasa todas las pruebas, FatalRAT inicia su proceso de instalación. El malware utiliza una variedad de cadenas de configuración cifradas.
El primero le permite establecer una conexión con su servidor de comando y control (C&C). A partir de ahí, crea el nombre del malware, un nombre de servicio y luego realiza otras configuraciones para finalmente instalar un keylogger.
Una vez instalado el malware, este se dirige a los navegadores que estén instalados y procede a eliminar la información guardada, para así obligar a la víctima a ingresar sus contraseñas y usuarios para poder ser interceptados con su keylogger.
Productos afectados
La plataforma de mensajería Telegram.
Una vez instalado el malware los productos afectados son:
- Microsoft Edge
- 360Secure Browser
- QQBowser
- SoguBrowser
- Firefox
- Chrome
Mitigación
Las acciones recomendadas para evitar la instalación de FatalRAT son:
- No haga clic en enlaces ni instale software de fuentes desconocidas.
- Instale un antivirus y mantenga su sistema actualizado.
- Utilice siempre una solución de detección y respuesta de puntos finales (EDR) o habilite la supervisión del regisro del sistema para permitir la correlación SIEM.
- Monitorear el tráfico de la red a patrones de comando y control (C&C).
Indicadores de compromiso
AT&T compartió los siguientes indicadores de compromiso:
Hash del malware:
- SHA256 e52af19dce25d51f9cf258613988b8edc583f7c7e134d3e1b834d9aab9c7c4c4
- SHA 256 dc026cd76891d1f84f44f6789ac0145a458e2c704a7bc50590ec08966578edb3
- SHA 256 cb450f82c49eadd597a87645f9f30c52c03c6ed9425386af5b321664fe3a6da0
- SHA 256 210990e36122e0facc7c74373569f052fa0651ab06644330fe00b685793ee0fd
- SHA 256 34f37327a0154d644854a723e0557c733931e2366a19bdb4cfe6f6ae6770c50f
- SHA 256 ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56
- SHA 256 b01719e59675236df1a0e1a78cdd97455c0cf18426c7ec0f52df1f3a78209f65
- SHA 256 72cd668d9bc442f522556807390d4f7e32966bef20ef1a831bf36a5ab213191e
- SHA 256 1cabdb7ab1cbd0526498d15839c780850a41a8c917b65581fad9e7dbdedd5e0f
- SHA 256 5453911d6f597d65ab542ec25723a7d87b2292c2e2a52a40d3a32032f6117acd
- SHA 256 826d07108a1223140e6a58b44722404009ac2e82df0acfd7d1f5bf29b56526b6
- SHA 256 337841b5ade52ba853a30eb8ab04dede64d89808893fb6e04122479502951528
- SHA 256 17075832426b085743c2ba811690b525cf8d486da127edc030f28bb3e10e0734
Las IP’s detectadas de los servidores C&C utilizadas por FatalRAT son:
- 103.119.44[.]152
- 103.119.44[.]93
- 103.119.44[[.]100
Recomendación
No utilice herramientas de activación ilegales, las versiones de licencia de software descargadas, aplicaciones promovidas, pueden resultar en la instalación de aplicaciones maliciosas.
Es muy importante estar atento en la navegación web, descargue software de sitios oficiales y de enlace directos solamente, evite el uso de las redes de intercambio, descargadores de terceros y otras fuentes no confiables, ya que pueden ser utilizadas para difundir el malware.