Dtrack RAT: el malware dirigido a las instituciones financieras indias

¿Será Lazarus? Este malware se ha dirigido a las instituciones financieras y centros de investigación hindúes con herramientas similares a las utilizadas en DarkSeoul (2013).

Investigadores de Kaspersky descubrieron la herramienta de espionaje Dtrack cuando analizaban el malware ATMDtrack que apuntaba a los bancos indios.

Se observó que las muestras Dtrack descubiertas inicialmente eran descartadas, porque las cargas útiles reales se cifraron con varios cuentagotas. Al descifrar la carga útil final, surgieron varias similitudes con la campaña DarkSeoul. Esto llevó a que la campaña se asocie con el grupo Lazarus.

Los investigadores creen que una parte del antiguo código fue reutilizado en los ataques contra los sectores financieros indios. A principios de septiembre de 2019 se presenció la última actividad detectada de Dtrack RAT.

El cuentagotas tiene una carga útil cifrada incrustada como una superposición de un archivo PE. Los datos superpuestos, cuando se descifran, contienen un ejecutable adicional, un código de shell de proceso vacío y una lista de nombres ejecutables predefinidos.

Se ha observado que su rutina de descifrado comienza entre las funciones start () y WinMain ().

El código malicioso está incrustado en un binario que es un ejecutable inofensivo como el proyecto Visual Studio MFC.

Una vez que se descifran los datos, comienza el código de proceso vacío. Toma el nombre del proceso para ser vaciado como argumento.

Se descubrió que los cuentagotas contenían varios ejecutables con fines de espionaje.

Se descubrió que algunos ejecutables de carga útil eran capaces de registrar claves, enumerar procesos en ejecución, enumerar archivos en todos los volúmenes de disco, recopilar detalles sobre redes disponibles y conexiones activas, robar direcciones IP de host y registrar claves.

Algunos archivos ejecutables guardan los datos recopilados en un archivo protegido con contraseña y los guardan en el disco. Otros ejecutables envían los datos a su servidor de comando y control directamente.

“Además de los ejecutables antes mencionados, los cuentagotas también contenían un troyano de acceso remoto (RAT). El ejecutable RAT permite a los delincuentes realizar diversas operaciones en un host, como cargar / descargar, ejecutar archivos, etc. «, dijeron los investigadores.

Dtrack vs ATMDtrack

Aunque ATMDtrack es parte de la familia Dtrack, ambos se ven diferentes. Las muestras ATMDtrack no están encriptadas, mientras que la Dtrack viene con una carga útil encriptada dentro del cuentagotas.

Sin embargo, una vez que se descifra la carga útil de Dtrack, el estilo similar y las funciones implementadas sugieren que el mismo desarrollador está detrás de ambas piezas de malware. Un ejemplo sorprendente de esto es la función de manipulación de cadenas que verifica una subcadena CCS_ al comienzo de una cadena de parámetros y la elimina para devolver una cadena modificada. Si la subcadena CCS_ no está presente, el primer byte se usa como argumento XOR para devolver la cadena descifrada.

Los investigadores también identificaron secuencias únicas que eran comunes en los volcados de memoria ATMDtrack y Dtrack.

Defendiendo contra Dtrack

Como los delincuentes buscan obtener un control parcial sobre la red para espiar a través de esta campaña, los expertos en seguridad recomiendan a las empresas que:

·Mejora las políticas de red y contraseña
Además de estos, las empresas también deben estar atentas a estos indicadores de compromiso (COI):

8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d