Rokrat Rat, un nou malware ce afectează alternativa Microsoft Word

Experții în securitate Cisco au descoperit un nou instrument de acces remote denumit Rokrat, ce implementează masări de anti-detectare sofisticate. Rokrat Rat este un malware targetat pentru utilizatorii din Korea ce folosesc alternativa koreana a celebrului Microsoft Word, Hangul Word Processor (HWP).

Motivul pentru care m-am decis să scriu acest articol este deoarece și noi, românii folosim adesea alternative a procesorului de text Word sau suitei Office, precum Open Office sau Libre Office și în viitor malware-ul s-ar putea extinde și ar putea ataca chiar și utilizatorii din țara noastră.

Rokrat Rat a fost folosit într-o campanie de tip phishing detectată acum câteva săptămâni, atacatorii bazându-se pe documente atașate ca armă.

Analiștii în securiate de la Cisco din Talos, Warren Mercer, Paul Rascagneres și Matthew Molyett spuneau în analiza publicată de ei că “acest agent a fost foarte rapid în a-și acoperi urmele, ștergând foarte rapid gazdele compromise. Credem că infrastructura compromisă era Live pentru nu mai mult de câteva ore pentru fiecare campanie“.

Atacatorii au compromis o adresă de e-mail legitimă a unui forum mare a universității din Seoul pentru a răspândi e-mail-uri de tip phishing. Aceștia încercau să-și păcălească victimele să le ofere un feedback având ca atașament două documente de tip HWP ce aveau încorporate obiecte Encapsulated PostScript (EPS). Malware-ul se conecta apoi și încărca fie un video de pe Amazon al unui joc denumit “Men of War” , fie un videoclip denumit “Golden Time”.

Vulnerabiliatea exploatată de către atacatori a fost descoperită în anul 2013 (CVE-2013-0808) și descărca malware-ul Rokrat Rat în mod binar din centrul de comandă și control de tip server. Fișierul binar ce se descărca precum tip .jpn era apoi denumit “worker.jpg” sau “kingstone.jpg”.

Experții au observat și o evoluție a malware-ului, acesta folosindu-se de noile canale de comunicație precum Twitter, Yandex sau platformele de cloud Mediafire.

Faptul că e-mail-urile erau atât de bine scrise în koreană sugerează că atacatorul este de origine koreană.

Cu o piață de freelanceri ce vând coduri sursă la prețuri de nimic, nu m-ar mira ca malware-ul să fie vândut mai târziu pe darkweb și să ajungă și în alte țări. Fiți întotdeauna precauți atunci când deschideți e-mail-uri ce provin din surse necunoscute.

About Daniel

Senior tester înrăit de aplicații (iOS, Android sau web based); scriitor, grafician și programator de ocazie; senior salahor IT – sper că ne vom împrietenii uşor și că-ți vor plăcea articolele TechZip.

Leave a Reply

%d bloggers like this: