La estrategia del malware open-source Quasar RAT con carga lateral de DLL

Un troyano de acceso remoto de código abierto, conocido como Quasar RAT, ha sido detectado utilizando una técnica de carga lateral de DLL para eludir la detección y robar datos de sistemas Windows comprometidos.

Los investigadores de Uptycs, Tejaswini Sandapolla y Karthickkumar Kathiresan, han publicado un informe que detalla cómo este malware se aprovecha de archivos confiables en el entorno de Windows para ocultar sus actividades maliciosas y la dependencia del malware de ctfmon.exe y calc.exe como parte de la cadena de ataque.

Quasar RAT, también conocido como CinaRAT o Yggdrasil, es una herramienta de administración remota basada en C#. Esta herramienta es capaz de recopilar información del sistema, identificar las aplicaciones en ejecución, acceder a archivos, capturar pulsaciones de teclas, capturas de pantalla y ejecutar comandos de shell arbitrarios.

La técnica de carga lateral de DLL es una estrategia ampliamente utilizada por actores de amenazas para ejecutar sus propias cargas maliciosas. Esto se logra al introducir un archivo DLL falsificado con un nombre que coincide con el de un archivo ejecutable benigno, lo que engaña al sistema.

«Los atacantes probablemente utilizan la carga lateral como un medio para enmascarar las acciones que realizan bajo un proceso o software legítimo, confiable y potencialmente elevado».

Señala el MITRE en su explicación del método de ataque.

El ataque descrito por Uptycs comienza con un archivo de imagen ISO que contiene tres archivos: un binario legítimo llamado ctfmon.exe, que es renombrado como eBill-997358806.exe, un archivo MsCtfMonitor.dll renombrado como monitor.ini y un archivo MsCtfMonitor.dll malicioso.

Cuando se ejecuta el archivo «eBill-997358806.exe«, inicia la carga del archivo «MsCtfMonitor.dll» a través de la técnica de carga lateral de DLL, ocultando así código malicioso en su interior. Este código oculto es otro ejecutable llamado «FileDownloader.exe«, que se inyecta en «Regasm.exe«, la herramienta de registro de ensamblados, para iniciar la siguiente etapa.

En esta etapa, se carga el archivo calc.exe, un archivo legítimo, que nuevamente carga el archivo Secure32.dll malicioso a través de la técnica de carga lateral de DLL. Esto culmina en el despliegue de la carga útil final del Quasar RAT.

Este troyano establece conexiones con un servidor remoto para enviar información del sistema y, además, crea un proxy inverso que permite el acceso remoto al sistema comprometido. Aunque la identidad del actor de amenazas y la técnica exacta utilizada para iniciar el ataque aún no están claras, es probable que el troyano se esté distribuyendo a través de correos electrónicos de phishing. Esto subraya la importancia de que los usuarios sean cautelosos con los correos electrónicos sospechosos, enlaces y archivos adjuntos.

Más información:

• https://malpedia.caad.fkie.fraunhofer.de/details/win.quasar_rat
• https://www.uptycs.com/blog/quasar-rat
• https://www.bitdefender.com/blog/businessinsights/tech-explainer-what-is-dll-sideloading/
• https://www.crowdstrike.com/blog/dll-side-loading-how-to-combat-threat-actor-evasion-techniques/
• https://attack.mitre.org/techniques/T1574/002/

La entrada La estrategia del malware open-source Quasar RAT con carga lateral de DLL se publicó primero en Una al Día.