Un conocido actor de amenazas chino está reciclando malware antiguo (se abre en una pestaña nueva)en un intento de evadir la detección, reducir costos y enviar a los investigadores a una búsqueda inútil.
Un informe de Symantec dice que el grupo, conocido como Webworm, usó al menos tres variantes antiguas de malware (y por «antiguo», queremos decir de 2008 a 2017), las modificó un poco y luego las probó con proveedores de servicios de TI. en Asia para ver cómo funcionan.
Dada la edad del malware, a veces logran volar bajo antivirus (se abre en una pestaña nueva) los radares de las soluciones, agregaron.
RAT sigilosas
El primero se llama Trochilus RAT, está en circulación desde al menos 2015 y está disponible gratuitamente en GitHub.
Primero se descubrió atacando a personas que visitaban un sitio web de Myanmar. Webworm lo modificó para que pueda cargar su configuración desde un archivo al registrar un conjunto de directorios codificados. También se decía que tenía la capacidad de moverse lateralmente a través de los puntos finales. (se abre en una pestaña nueva) en la red de destino, para un mejor acceso. El segundo es 9002 RAT, un troyano sigiloso de acceso remoto que ahora tiene un mejor cifrado para su protocolo de comunicación, lo que hace que sea aún más difícil de detectar.
Finalmente, el tercero se llama Gh0st RAT, un troyano de 14 años que ahora viene con «varias capas de ofuscación, omisión de UAC, desempaquetado de shellcode y lanzamiento en memoria».
Si bien es difícil saber exactamente qué actor de amenazas está detrás del renacimiento de Webworm, Symantec parece creer que es el mismo grupo que Space Pirates, un actor de amenazas chino descubierto por Positive Technologies en mayo de este año. En aquel entonces, Positive Technologies analizó Gh0st RAT y lo llamó Deed RAT.
En cualquier caso, Webworm es un grupo ciberdelincuente conocido que ha estado en funcionamiento desde al menos 2017. En el pasado, el grupo se ha relacionado con varios ataques contra empresas de TI, organizaciones aeroespaciales, así como proveedores de energía eléctrica en Rusia, Georgia y Mongolia.
Vía: BleepingComputer (se abre en una pestaña nueva)