RATicate se comercializa

Hace dos meses, escribimos sobre una banda de ciberdelincuentes que llamamos RATicate.

Estos ciberdelincuentes han estado distribuyendo activamente una variedad de troyanos de acceso remoto, por eso las letras RAT de su apodo, con el objetivo de darles un control casi completo sobre los ordenadores infectados, todo desde la distancia.

Como explicamos a principios de año, el término RAT se asocia muy comúnmente con malware que brinda a los delincuentes acceso remoto a la cámara web, generalmente con fines sórdidos y voyeristas.

De hecho, el nombre RAT se acuñó originalmente como una metáfora que se refería tanto a los delincuentes que implementaron el malware como al malware en sí.

Pero pocos RAT tuvieron alguna vez acceso subrepticio a cámaras web y capturas de pantalla.

Las herramientas de acceso remoto de este tipo se conocen más habiutalmente como bots, abreviatura de robots o zombis, porque esperan a recibir comandos y causar estragos.

Y casi todos los zombis que existen permiten, además de las funciones integradas, como el robo de archivos, la captura de pantalla y la inspección de la cámara web, un comando genérico mediante el cual pueden actualizarse y reemplazarse con malware completamente nuevo, o descargar e instalar nuevo malware que se ejecute conjuntamente con ellos.

Como escribimos en mayo de 2020:

Las variantes RAT distribuidas por este grupo de ciberdelincuentes incluían las familias de malware zombie Betabot, Lokibot, Formbook, AgentTesla, Netwire, Bladibindi entre otras.

SophosLabs ha estado rastreando al equipo de RATicate desde su último informe, y acaba de publicar un artículo de seguimiento que detalla los nuevos hallazgos sobre la forma en que operan.

RATicate es lo que llamamos un grupo MaaS, abreviatura de malware como servicio, un conjunto de ofertas legítimas como SaaS (software como servicio) e IaaS (infraestructura como servicio).

El nuevo informe ofrece una visión de lo que podría llamarse la economía artesanal en el ciberterreno, donde diferentes grupos de delincuentes se centran en diferentes servicios de cibercrimen.

Los operadores de RATicate incluso parecen haber dado a sus “clientes” apodos que llamamos actor_tags, como lanre, bill, aus, h0ly y papa.

Cambio en la entrega

Hace dos meses, describimos cómo la herramienta de entrega de malware elegida por RATIcate era el instalador NSIS, un kit de herramientas legítimo y ampliamente utilizado para empaquetar aplicaciones en un solo archivo en el que se puede hacer doble clic para instalar.

Los instaladores de NSIS tienen la ventaja, al menos para los ciberdelincuentes, de tener un aire de legitimidad: muchos productos de software usan NSIS, por lo que usarlo para envolver malware es, en efecto, esconderse a simple vista.

Pero la desventaja es que los instaladores NSIS no están destinados a ser maliciosos u ofuscados: por diseño, están destinados a seguir un formato bien definido, lo que los hace relativamente fáciles de extraer y analizar para los investigadores de seguridad.

Los RATicaters trabajaron alrededor de esto introduciendo en sus instaladores un montón de archivos señuelo, incluidos documentos de texto, código fuente, scripts Python, imágenes, datos XML y archivos de programas legítimos (EXE y DLL) que no eran maliciosos y podrían encontrarse razonablemente en una versión original de un instalador.

Sin embargo, RATicate recientemente cambió a un tipo de paquete de software más intricado que hace todo lo posible para dificultar el análisis y la extracción de los contenidos integrados.

Desafortunadamente, el empaquetador que eligieron, originalmente denominado GuLoader, resultó ser una herramienta de ofuscación de software comercial conocida como CloudEyE.

Puedes imaginar que cualquier tipo de sistema de ofuscación de software que esté claramente diseñado para hacer que el comportamiento de un programa sea difícil de probar y analizar sería digno de bloqueo por defecto. Pero los proveedores de software legítimos a menudo usan estas herramientas como una forma de mantener alejados a los ciberdelincuentes y hackers, por lo que prohibir todos los programas “empaquetados” evitaría que muchas aplicaciones convencionales funcionasen.

Lee el informe de SophosLabs para saber qué sucedió después, con los operadores de CloudEyE obligados por la presión de la industria a cerrar hace aproximadamente un mes solo para reabrir su servicio de cifrado de códigos el fin de semana pasado con la promesa de mayor responsabilidad y cierre más rápido de cuentas maliciosas.

Estaremos atentos para ver como acaba este tema.