Los investigadores de Cisco Talos han descubierto una nueva pieza sofisticada de malware que utiliza múltiples servicios en la nube como Twitter, ImgBB, Google Forms y Google Drive para evadir la detección. El nuevo troyano de acceso remoto (RAT) basado en Python llamado JhoneRat se dirige a un conjunto específico de países de habla árabe (verificando la distribución del teclado de los sistemas infectados), incluidos Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria, Emiratos Árabes Unidos, Kuwait, Bahrein y Líbano. La campaña comenzó en noviembre de 2019 y aún continúa.
Una vez descargado, el RAT recopila información en las computadoras de las víctimas y también puede descargar cargas útiles adicionales. A diferencia del malware similar, JhoneRAT está escrito desde cero y se basa en un código fuente no abierto.
El malware se entrega a través de una serie de documentos armados de Microsoft Word que solicitan a la víctima que habilite la edición. Para evitar mecanismos de seguridad que detecten macros en documentos de Word, el documento inicial no contiene macros. En cambio, utiliza una referencia a una plantilla adjunta externamente ubicada en Google Drive, lo que hará que Microsoft Word descargue otro documento (la plantilla) que contiene la macro maliciosa si la víctima permite la edición.
“La macro contiene una técnica de detección de máquina virtual basada en el número de serie de los discos disponibles en el entorno de la víctima. De hecho, algunas máquinas virtuales no tienen números de serie y la macro se ejecuta solo si existe un número de serie. Se ejecuta un comando WMIC para obtener esta información en el sistema objetivo ", anotaron los investigadores.
Una vez completada la verificación, la macro en el documento de plantilla descarga una imagen JPEG, también desde Google Drive. Este archivo contiene datos de imagen válidos que se parecen a una imagen normal. Al final del archivo de imagen se adjuntan datos codificados en Base64 que se descodifican en un archivo binario ejecutable de malware que descarga JhoneRAT.
El malware utiliza tres servicios en la nube diferentes para realizar todas sus actividades de comando y control (C2): una cuenta de Twitter (para recuperar instrucciones de su servidor C2 cada diez segundos), ImgBB (para cargar capturas de pantalla y descargar cargas útiles adicionales) y Formularios de Google ( para enviar los datos robados al operador de la RAT).
“Esta campaña muestra un actor de amenaza interesado en países específicos de habla de Medio Oriente y árabe. También nos muestra un actor que pone esfuerzo en opsec al usar solo proveedores de la nube. Los documentos maliciosos, los cuentagotas y la propia RAT se desarrollan en torno a los proveedores de la nube. Además, los atacantes implementaron trucos anti-VM (y sandbox) y anti-análisis para ocultar las actividades maliciosas al analista ”, concluye el equipo de investigación.
https://blog.talosintelligence.com/2020/01/jhonerat.html
