JhoneRAT, nuevo troyano que explota servicios en la nube

Un nuevo troyano fue descubierto atacando de forma selectiva objetivos en el Medio Oriente, al verificar los diseños del teclado e intentar evitar las listas negras abusando de los servicios en la nube.

El jueves pasado, investigadores de seguridad cibernética de Cisco Talos, dijeron que el troyano de acceso remoto (RAT), denominado JhoneRAT, se está propagando activamente por medio de documentos de Microsoft Office que contienen macros maliciosas.

El primero de los documentos identificados por medio de campañas de phishing, llamado «Urgent.docx», pide al destinatario habilitar la edición de imágenes en inglés y árabe. El segundo, «fb.docx», afirma contener datos sobre una fuga de información en Facebook, y el tercero pretende ser de una organización legítima en Emiratos Árabes Unidos.

Para todos los casos, si se habilita la edición, se carga y ejecuta un documento adicional de Office que contiene una macro maliciosa. Estos documentos se alojan por medio de Google Drive «para evitar las listas negras de URL», según los investigadores.

JhoneRAT está desarrollado en Python y se elimina a través de Google Drive, que aloja imágenes con un binario codificado en base64 agregado al final. Estas imágenes, una vez cargadas en una máquina objetivo, desplegarán el troyano, que inmediatamente comenzará a recopilar información de la computadora, incluyendo el tipo, números de serie del disco duro, el sistema operativo, entre otros.

Al comunicarse con su servidor de comando y control para extraer la información, los comandos se verifican por medio de un feed público de Twitter cada 10 segundos. El identificador @jhone87438316 se usó originalmente, pero la cuenta ahora está suspendida.

«Estos comandos se pueden emitir a una víctima específica en función del UID generado en cada objetivo mediante el uso de información serial y contextual del disco, como el nombre del host, antivirus y el sistema operativo, o para todos ellos», dicen los investigadores.

Sin embargo, el robo real de datos se hace por medio de los proveedores en la nube ImgBB, Google Drive y Forms. Las capturas de pantalla se cargan en ImgBB, los binarios se descargan de Drive y los comandos se ejecutan con la salida enviada a los formularios.

Algo interesante del malware, es cómo se seleccionan los objetivos. El filtrado se implementó en función del diseño del teclado de la víctima, y el malware solo se ejecutará contra aquellos países de habla árabe.

Cisco Talos informa que JhoneRAT apunta a Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria, Emiratos Árabes Unidos, Kuwuait, Bahrein y Líbano.

«Esta campaña comenzó en noviembre de 2019 y aún sigue. En este momento, se revoca la clave API y se suspende la cuenta de Twitter. Sin embargo, el atacante puede crear fácilmente nuevas cuentas y actualizar los archivos maliciosos para seguir funcionando», agregan los investigadores.

Otro troyano inusual en revisión por investigadores de amenazas actualmente, es Faketoken. Este troyano comenzó sus acciones como una forma de malware atornillado utilizado por los troyanos de escritorio tradicionales para interceptar códigos de verificación enviados a dispositivos móviles cuando las víctimas intentaron iniciar sesión en cuentas en línea y desde entonces, se ha convertido en una amenaza financiera independiente-

Recientemente, una campaña de Faketoken demostró un comportamiento extraño: el secuestro de las instalaciones de mensajería de dispositivos móviles para enviar mensajes de texto ofensivos.

Los investigadores de seguridad cibernética no saben por qué, con la excepción de que muchos destinatarios están en el extranjero, y por lo tanto, los mensajes SMS podrían generar ingresos por medio de los costosos mensajes que se envían a estos números.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *