Eksperci G DATA SecurityLabs odkryli i dokonali analizy wysoce skomplikowanego wcześniej nieznanego malwareu. Spyware ComRAT atakuje sieci o dużym potencjale. Co to oznacza? Twórcy analizowanego złośliwego oprogramowania za cel postawili sobie kradzież wysoce poufnych danych firmowych. Na podstawie uzyskanych danych można stwierdzić, że ComRAT to „krewniak” użytego w 2008 roku w ataku na USA malwareu Agent.BTZ. Więcej, analitycy zauważyli wiele podobieństw do prawdopodobnie rządowego spywareu Uroburos!
G DATA SecurityLabs ostrzegało przed Uroburosem po raz pierwszy w lutym 2014, kiedy to zaatakowano Ministerstwo Spraw Zagranicznych Belgii z wykorzystaniem tego szkodliwego oprogramowania. Po przechwyceniu interfejsu programisty (COM hijacking), malware potrafi umieścić się na infekowanej maszynie i uruchamiać swoje szkodliwe funkcje niezauważony. Przykładowo może przesyłać wszelkie wykradzione i interesujące atakujących dane za pomocą przeglądarki z wykorzystaniem ruchu sieciowego. W ten sposób napastnicy korzystając z ComRAT Remote Administration Tool (narzędzie administracji zdalnej) mogą szpiegować zainfekowana sieć bez obawy o możliwość wykrycia. Oprogramowanie G DATA wykrywa i blokuje różne warianty ComRAT.
„ComRAT jest najnowsza wersją znanych już od dłuższego czasu programów szpiegujących takich jak Uroburos czy Agent.BTZ. Tak jak jego sławni poprzednicy ComRAT został stworzony do inwigilacji dużych sieci komputerowych należących do korporacji, agencji rządowych, różnego rodzaju organizacji i instytutów badawczych.” – wyjaśnia Łukasz Nowatkowski, dyrektor techniczny G DATA Software. „Po wielu podobieństwach przypuszczamy, że za obecną jak i wcześniejszymi wersjami tego oprogramowania szpiegującego stoi ta sama grupa ludzi. Aktualnie analizowane oprogramowanie jest jeszcze bardziej złożone i nieschematyczne. Płynie z tego jasna informacja, budżet na opracowanie najnowszej wersji musiał być o wiele większy od wykorzystanego przy poprzednich projektach.”
Czym dokładnie jest ComRAT?
Pracownicy G DATA ochrzcili badane oprogramowanie szpiegujące mianem „ComRAT” ze względu na jego właściwości. Nazwa to połączenie dwóch terminów COM (Component Object Model – to standard tworzenia interfejsów programistycznych) oraz RAT (od Remote Administrator Tool). Obiekty COM są wykorzystywane do przejęcia kontroli nad komputerem. Dzięki temu mogą ComRAT może zainfekować komputer oraz ukryć swoje szkodliwe działanie przed użytkownikiem. Dzięki wykorzystaniu najzwyklejszej przeglądarki do przesyłania wykradzionych informacji z zaatakowanej sieci, szmuglowane dane nie wzbudzają podejrzeń i są traktowane jako normalny ruch sieciowy. RAT pozwala na kontrolowanie całego procesu z dowolnego komputera podłączonego do sieci i wyposażonego w moduł administracyjny ComRAT. Hakerzy mogą wydawac polecenia z dowolnego miejsca na ziemi.
Podczas prowadzonej analizy eksperci G DATA SecurityLabs odkryli dwa niezależne warianty badanego malwareu.
- Więcej szczegółów na stronie SecurityBlog: ANALIZA,
- Więcej szczegółów odnośnie samej infekcji i przejęcia atakowanego komputera: COM OBJECT HIJACKING,
- O Uroburosie możecie przeczytać tu: UROBUROS
źródło: G Data
