Los investigadores de la empresa de seguridad informática Forcepoint identificaron un troyano RAT que, a juzgar por su fecha de compilación, se viene utilizando en el mundo real por lo menos seis meses de una forma muy limitada, y sabe muy bien como evitar que lo detecten.
Según los expertos, este malware para Windows, denominado Felismus, tiene una arquitectura modular y está escrito de una manera muy profesional. Su funcionalidad es la típica de los troyanos de este tipo: Felismus es capaz de cargar y descargar archivos, ejecutarlos, actualizarse y ejecutar comandos de Shell.
Es de destacar que los autores del nuevo malware han hecho todo lo posible para que pueda evitar el análisis y oculte las conexiones que usa al funcionar. Las pruebas han demostrado que Felismus sabe reconocer muchos productos antivirus y resistirse a que lo detecten. Sus códigos ejecutables y DLLs están bien protegidos del análisis y de la ingeniería inversa, mientras que la mayoría de los mensajes que el troyano envía a su servidor de administración se cifran dos veces consecutivas con dos llaves diferentes.
Las primeras muestras de Felismus que se sometieron a análisis estaban camufladas como AdobeCMS.exe. En el momento del descubrimiento, sólo nueve de los 60 antivirus de la colección VirusTotal detectaban estas imitaciones. En el presente, las reconocen como nocivas un poco más de la mitad.
Al iniciarse, todas las muestras creaban una ventana invisible y registraban para la misma una función WindowProc, que era la que sustentaba las acciones maliciosas básicas: descargar el archivo desde el servidor remoto, crear un archivo de texto en el equipo local, ejecutar el archivo, ejecutar el comando Shell y guardar los resultados en el disco, para después cargar los resultados del cmd.exe anterior en el servidor remoto. La lista de productos antivirus cuyos procesos vigilaba el ejemplar de Felismus analizado contenía 45 ítems.
Muchos de los identificadores internos utilizados por el troyano (ID de la víctima, ID de los módulos, claves de encriptación, etc.) habían sido creados basándose en los hashes MD5 de otros componentes. Se descubrió sólo una clave de cifrado legible por humanos, Tom&Jerry@14here, que fue lo que sugirió a los expertos el nombre que le darían: En latín, felis significa “gato” y mus “ratón”. Para cifrar la comunicación con el servidor de administración, Felismus utiliza al menos tres métodos de encriptación, según el tipo de mensaje. La infraestructura de comandos del malware está activa y parece que se encuentra bajo un excelente mantenimiento.
Una serie de dominios asociados a esta amenaza devuelven una página falsa WordPress.org versión del año 2013 que contiene una serie de datos falsos, tales como números de teléfono incorrectos en Hong Kong y direcciones físicas inexistentes como contactos. Las direcciones de correo electrónico del registrador de dominios, según Forcepoint, no se utilizan en ninguna otra parte de Internet.
Durante las pruebas, la muestra ejecutó un pequeño número de funciones y dejó sólo unas pocas entradas únicas en el registro del sistema. Los expertos opinan que podría haber dos razones para ello: o bien la cibecampaña en aquel momento había perdido fuerza, o el comportamiento de esta muestra en particular depende de las características del equipo infectado. Los investigadores también han notado que el servidor de administración Felismus bloquea una de las IP saliente de su empresa.
Los objetivos de los atacantes no están claros en este momento. Los nombres de tres de los cinco dominios asociados a la dirección IP del servidor de administración están relacionados con el sector de servicios financieros. Tampoco se detectaron signos evidentes de que Felismus tenga relación con campañas de APT conocidas. El nombre inusual de una de las carpetas, “datas”, y un error tipográfico en el nombre de la función, GetCurrtenUserName, pueden significar que el inglés no es la lengua materna de los autores del troyano. Al parecer, las muestras analizadas en Forcepoint se crearon al parecer usando el compilador de código abierto TDM-GCC, versión de diciembre de 2014.
http://www.securityweek.com/modular-felismus-rat-emerges
Un troyano RAT creado por fans de Tom y Jerry
Los investigadores de Forcepoint identificaron un troyano RAT llamado Felismus, que por lo menos seis meses ha estado activo en puntos selectos del mundo real y sabe muy bien como evitar que lo detecten.
Un malware modular para Windows se ha venido utilizando en puntos selectos del mundo real durante al menos seis meses, y sabe muy bien como evitar que lo detecten.
Fuentes: Threatpost
Un troyano RAT creado por fans de Tom y Jerry