Cargadores IDAT que utilizan esteganografía para desplegar Remcos RAT

Las entidades ucranianas con sede en Finlandia han sido atacadas como parte de una campaña maliciosa que distribuye un troyano comercial de acceso remoto conocido como Remcos RAT utilizando un cargador de malware llamado IDAT Loader.

El ataque se ha atribuido a un actor de amenazas rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) bajo el nombre de UAC-0184.

"El ataque, como parte del IDAT Loader, utilizó la esteganografía como técnica", dijo el investigador de Morfisec, Michael Dereviashkin, en un informe compartido con The Hacker News. "Si bien las técnicas esteganográficas, o 'Stego' son bien conocidas, es importante comprender su papel en la evasión de la defensa, para comprender mejor cómo defenderse contra tales tácticas".

IDAT Loader, que se superpone con otra familia de cargadores llamada Hijack Loader, se ha utilizado para servir cargas útiles adicionales como DanaBot, SystemBC y RedLine Stealer en los últimos meses. También ha sido utilizado por un actor de amenazas rastreado como TA544 para distribuir Remcos RAT y SystemBC a través de ataques de phishing.

La campaña de phishing, revelada por primera vez por el CERT-UA a principios de enero de 2024, consiste en el uso de señuelos de temática bélica como punto de partida para poner en marcha una cadena de infección que conduzca al despliegue de IDAT Loader, que, a su vez, utiliza un PNG esteganográfico incrustado para localizar y extraer Remcos RAT.

El desarrollo se produce cuando CERT-UA reveló que las fuerzas de defensa en el país han sido atacadas a través de la aplicación de mensajería instantánea Signal para distribuir un documento de Microsoft Excel con trampas explosivas que ejecuta COOKBOX, un malware basado en PowerShell que es capaz de cargar y ejecutar cmdlets. El CERT-UA ha atribuido la actividad a un clúster denominado UAC-0149.

También sigue el resurgimiento de las campañas de malware que propagan el malware PikaBot desde el 8 de febrero de 2024, utilizando una variante actualizada que parece estar actualmente en desarrollo activo.

"Esta versión del cargador PikaBot utiliza un nuevo método de desempaquetado y una gran ofuscación", dijo Elastic Security Labs. "El módulo principal ha agregado una nueva implementación de descifrado de cadenas, cambios en la funcionalidad de ofuscación y varias otras modificaciones".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta