(https://i.imgur.com/islrIq9.png)
Los usuarios de aplicaciones de mensajería chinas como DingTalk y WeChat están siendo atacados por una versión de la puerta trasera HZ RAT diseñada para macOS. Este malware, que replica las funcionalidades de su contraparte en Windows, se distribuye a través de archivos zip autoextraíbles o documentos RTF maliciosos creados con el armador RTF de Royal Road.
HZ RAT se conecta a un servidor de comando y control (C2) para ejecutar comandos y scripts, cargar y descargar archivos, y recolectar información del sistema. Aunque sus capacidades son limitadas, el malware parece estar enfocado en la recolección de credenciales y el reconocimiento del sistema.
Detectado por primera vez en 2020, HZ RAT sigue activo en 2023, disfrazándose de instaladores legítimos como OpenVPN Connect. Una vez ejecutado, establece contacto con un servidor C2 para ejecutar comandos que incluyen la obtención de información de DingTalk y WeChat, como WeChatID, correo electrónico, y detalles de la organización del usuario.
La mayoría de los servidores C2 están ubicados en China, aunque algunos están en EE. UU. y Países Bajos. El malware también ha sido vinculado a un dominio del desarrollador de videojuegos chino miHoYo, conocido por Genshin Impact, aunque no está claro si el servidor fue comprometido.
Este ataque demuestra que los actores de amenazas detrás de HZ RAT siguen activos y utilizando técnicas de infiltración en sistemas macOS, enfocándose principalmente en la recopilación de datos sensibles que podrían ser usados para movimientos laterales en redes comprometidas.
Además de atacar a los usuarios de aplicaciones de mensajería chinas, HZ RAT también muestra una evolución en las tácticas de los atacantes. La persistencia del malware en sistemas macOS y su capacidad para imitar software legítimo indica que los atacantes están sofisticando sus métodos para evitar la detección. La distribución a través de instaladores como OpenVPN Connect sugiere un enfoque dirigido, posiblemente aprovechando la confianza que los usuarios tienen en aplicaciones reconocidas.
La explotación de una vulnerabilidad antigua en Microsoft Office (CVE-2017-11882) para distribuir la versión de Windows de HZ RAT refuerza la importancia de mantener los sistemas actualizados. Los atacantes aprovechan estas vulnerabilidades conocidas para infiltrarse en redes corporativas y personales, subrayando la necesidad de medidas de seguridad proactivas.
El hecho de que los servidores C2 estén mayoritariamente en China, con algunos en EE. UU. y Países Bajos, sugiere una operación global con una infraestructura distribuida para dificultar la rastreabilidad y mejorar la resiliencia del ataque. Esta distribución geográfica también puede indicar la intención de los atacantes de acceder a víctimas en diversas regiones, no solo en China.
El vínculo del malware con un dominio perteneciente al desarrollador de videojuegos miHoYo plantea preocupaciones adicionales. Aunque no está confirmado si el servidor de miHoYo fue comprometido, el uso de un dominio tan conocido podría ser una estrategia para aumentar la credibilidad del archivo malicioso, haciendo que los usuarios sean más propensos a descargarlo e instalarlo. Esto destaca la importancia de verificar siempre la autenticidad de los archivos, incluso si parecen provenir de fuentes confiables.
A pesar de la simplicidad de HZ RAT en términos de capacidades, su eficacia radica en su enfoque en la recolección de información crítica, como credenciales y detalles organizacionales. Esta información puede ser utilizada en fases posteriores del ataque, como movimientos laterales dentro de una red comprometida, exfiltración de datos sensibles o incluso espionaje corporativo.
El hecho de que HZ RAT siga activo después de varios años sugiere que los atacantes han tenido éxito suficiente para justificar la continuidad de la campaña. Las organizaciones y usuarios individuales deben estar alerta, especialmente aquellos que utilizan aplicaciones de mensajería chinas o tienen vínculos con China, ya que podrían ser objetivos de este tipo de amenazas persistentes.
En fin, HZ RAT es un ejemplo de cómo las amenazas cibernéticas evolucionan y se adaptan, buscando nuevas formas de comprometer sistemas y recolectar datos valiosos. Mantener sistemas actualizados, ser cauteloso con los archivos descargados y estar consciente de las tácticas de los atacantes son medidas clave para protegerse contra este tipo de malware.
Fuente: https://thehackernews.com