Quasar RAT: Un troià perillós d’accés remot

La seguretat cibernètica és un tema que s’ha tornat cada cop més rellevant en els darrers anys. Amb la creixent dependència de la tecnologia i la interconnexió de dispositius, els ciberdelinqüents han trobat noves maneres d’aprofitar-se de les vulnerabilitats en sistemes i xarxes. Un dels exemples més recents és el Quasar RAT, un troià d’accés remot de codi obert que ha estat utilitzant una tècnica anomenada càrrega lateral de DLL per passar desapercebut i robar dades d’ordinadors amb Windows compromeses.

La tècnica de càrrega lateral de DLL

La tècnica de càrrega lateral de DLL és una estratègia que s’aprofita de la confiança que els fitxers DLL tenen dins de l’entorn de Windows. Bàsicament, el que fa aquesta tècnica és utilitzar un fitxer DLL fals amb un nom que coincideix amb el d’un fitxer executable benigne que el sistema està buscant. Això permet que el codi maliciós s’amagui dins d’un fitxer que sembla legítim.

Quasar RAT: un perillós actor al món cibernètic

Quasar RAT, també conegut com a CinaRAT o Yggdrasil, és un troià d’accés remot. El que ho fa particularment perillós és la seva capacitat per recopilar informació del sistema, obtenir una llista d’aplicacions en execució, accedir a fitxers, registrar pulsacions de tecles, capturar pantalles i executar ordres d’intèrpret d’ordres arbitraris. Això vol dir que un atacant que tingui accés a un ordinador compromès amb Quasar RAT pot recopilar una gran quantitat dinformació confidencial.

El mode d’operació de Quasar RAT

Per entendre millor com Quasar RAT utilitza la càrrega lateral de DLL en els seus atacs, cal desglossar el seu modus operandi:

  1. Inici de l’atac: L’atac comença amb un fitxer d’imatge ISO que conté tres fitxers. El primer és un fitxer binari legítim anomenat ctfmon.exe, que és reanomenat com eBill-997358806.exe. El segon fitxer és un MsCtfMonitor.dll que es reanomena com a monitor.ini, i el tercer és un MsCtfMonitor.dll maliciós.
  2. Execució del codi maliciós: Quan s’executa el fitxer “eBill-997358806.exe”, inicia la càrrega del fitxer “MsCtfMonitor.dll” mitjançant la tècnica de càrrega lateral de DLL. Això amaga el codi maliciós dins del fitxer, cosa que fa que passi desapercebut per al sistema.
  3. Injecció de codi: El codi maliciós ocult és un altre executable anomenat “FileDownloader.exe”. Aquest fitxer s’injecta a Regasm.exe, l’Eina de Registre d’Assemblament de Windows, per llançar la següent etapa de l’atac.
  4. Segona etapa: La segona etapa implica l’execució d’un fitxer calc.exe autèntic que carrega el fitxer pregue Secure32.dll novament a través de la càrrega lateral de DLL. Això permet que Quasar RAT llanci la càrrega útil final.

Les conseqüències

Quan Quasar RAT es troba en un sistema compromès, estableix connexions amb un servidor remot per enviar informació del sistema. A més, configura un servidor intermediari invers que permet l’accés remot al punt final compromès. Això significa que els atacants poden tenir un control complet sobre l’ordinador i accedir a dades confidencials.

Protegint-nos del Quasar RAT

Si bé la identitat de l’actor d’amenaces i el vector d’accés inicial no són clars en aquest moment, és probable que el Quasar RAT es dissemini mitjançant correus electrònics de pesca. Per tant, és essencial que els usuaris estiguin alerta davant correus sospitosos, enllaços o fitxers adjunts.

La ciberseguretat és un tema que no cal prendre a la lleugera. Mantenir els nostres sistemes i dispositius actualitzats amb les darreres mesures de seguretat és fonamental per protegir-nos d’amenaces com el Quasar RAT. La confiança en fitxers DLL pot ser aprofitada pels ciberdelinqüents, però amb la deguda precaució i coneixement, podem reduir el risc de ser víctimes d’aquests atacs.

Per a tot allò que necessitis, Esolvo Security Systems, està amb tu

Facebook
Twitter
LinkedIn
WhatsApp