ACTUALIZACIÓN DEL MALWARE REMCOS RAT

25/01/2023

BOLETÍN NRO 2023-058

Recientemente se ha descubierto una distribución de malware realizada por Guloader para poder desplegar en los equipos comprometidos el RAT Remcos.

Servicios Afectados

• Sistemas operativos Windows
• Sistemas operativos Linux

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Los investigadores descubrieron recientemente un archivo PDF malicioso que se distribuye por correo electrónico. El archivo PDF redirige al usuario a una plataforma en la nube donde se le solicita que descargue un archivo ZIP. Dentro del archivo ZIP hay un enlace de acceso directo que, cuando se ejecuta, usa PowerShell para descargar un script VBS altamente ofuscado conocido como GuLoader. 

Este script luego inyecta código malicioso en el archivo legítimo de Internet Explorer "ieinstal.exe" y establece una conexión con un servidor de Comando y Control.

GuLoader es un descargador de malware avanzado que utiliza un cargador de shellcode polimórfico para evadir la detección de las soluciones de seguridad tradicionales. 

El shellcode en sí está encriptado y luego muy ofuscado, lo que dificulta el análisis estático. 

La mayor parte del malware descargado por GuLoader es malware básico, como AgentTesla, FormBook y NanoCore, siendo los más notables. 

Se encuentra implementando Remcos RAT en la máquina de la víctima. Remcos RAT ha estado en funcionamiento desde 2016. Esta RAT se promocionó originalmente como un software de control remoto genuino para Microsoft Windows desde XP en adelante por una empresa de seguridad alemana. Aunque la firma de seguridad afirma que el programa solo está disponible para aquellos que tienen la intención de usarlo legalmente, en realidad, Remcos RAT ahora se usa ampliamente en múltiples campañas maliciosas por parte de los actores de amenazas.

Se identificó la campaña de correo electrónico que envía GuLoader y Remcos RAT a la máquina de la víctima. Se cree que la campaña ha estado activa desde finales de noviembre de 2022. 

El atacante usa el servidor Linux/Ubuntu en la dirección IP "194[.]180[.]48[.]211" e implementa scripts maliciosos, ofuscados y encriptados allí.

El archivo PDF enviado como archivo adjunto en el correo electrónico a la víctima, redirige al usuario a Mega Drive basado en la nube para descargar el archivo zip que contiene un archivo de acceso directo (LNK). 

Indicadores de Compromiso

IP

194[.]180[.]48[.]211

178[.]237[.]33[.]50

45[.]81[.]39[.]21

84[.]21[.]172[.]49

37[.]0[.]14[.]209

Hash

MD5: fa29a3514315daa300a2f51effed36b7

SHA-256: 4817f198a8492e267eff9f76767abfbbef2631667d4dc6a334d7499405f9ce6c

MD5: 7b458417e456edfb8816b9f063dd7f4a

SHA-256: 097eb0cafefed7ddcab95345b850b7f8fa2ba518068275225d9b6a313e1f3491

MD5: 4937fced9860dee34e4a62036d7eb3e4

SHA-256: 8718de068b83d42c67280f51cd6dec0900dfc6a9957ebc418cd695b761c869e4

MD5: 2bea6452110dc15a82c1ce2338ae9303

SHA-256: 74aa007c5b52850273540fb6d8906c019348bfa166a4584afae57c50db7acb67

MD5: 10f6d31ed0acfecd2d1ef65c5dc538e0

SHA-256: 268c7a6c728a24f629759d98220f9cce26259011895ae7f8cb63ad8b46dfb8a5

MD5: f37664c2b8d6cac837ed746dd16cca4a

SHA-256: cde3bcc2302329397625192ab5096fdd43d5332207815cede5d7ddf619bc4063

MD5: ee7fee3fdf1ce0bc40f209aad8c7bc25

SHA-256: 089516eee5d8dc12aa6d97dc45ab55af5739cf9478ef4821e9eb7bb6b20e4831

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: GuLoader Deploying Remcos RAT
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​