Detección de PowerShell RAT: Malware Personalizado Usado para Pescar Información Relacionada con la Guerra

Los usuarios ubicados en Alemania están cayendo víctimas de una nueva campaña de malware diseñada para propagar un troyano de acceso remoto (RAT) de PowerShell personalizado. Los adversarios establecieron un sitio de señuelo para engañar a las personas haciéndoles caer en la trampa de un falso boletín de noticias que afirma ofrecer información previamente no publicada sobre la situación en Ucrania. Se insta a las víctimas a descargar un documento que proporcionará más información sobre el asunto. Este archivo armado instala un RAT personalizado que permite a los atacantes realizar la ejecución remota de comandos (RCE) en una máquina comprometida.

Como sugieren los datos de investigación, por el momento, no hay suficiente evidencia para mostrar quién exactamente es culpable de los ataques.

Detectar PowerShell RAT

Detecta si tu sistema fue comprometido con PowerShell RAT identificando actividad maliciosa relevante con una regla basada en Sigma desarrollada por un ingeniero de detección experimentado del Programa de Recompensas de Amenazas Furkan Celik:

Detectar Tareas Programadas de PowerShell RAT Personalizadas (a través de la seguridad)

La detección está disponible para las 16 plataformas SIEM, EDR & XDR, alineadas con el último marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Tareas/Trabajos Programados (T1053) como la técnica principal.

Se invita a profesionales establecidos en caza de amenazas y detección de amenazas a contribuir a nuestra iniciativa global de crowdsourcing. Mantén la línea de defensa contra amenazas emergentes y monetiza tus avanzadas habilidades cibernéticas. Únete al Programa de Recompensas de Amenazas de SOC Prime y establece un ingreso estable por tu contenido de detección — como reglas SIGMA, Yara, y Snort.

Ver Detecciones Unirse a Recompensas por Amenazas

Análisis de Malware RAT de PowerShell

Malwarebytes investigadores han expuesto PowerShell RAT, una pieza de malware de un probable actor de amenazas respaldado por Rusia que apunta a usuarios en Alemania que intentan obtener inteligencia relacionada con la guerra sobre la crisis ucraniana. En la reciente campaña de ataque bien planificada, los adversarios establecieron un sitio web falso aprovechando un dominio expirado previamente usado con propósitos gubernamentales del estado de Baden-Württemberg. Los visitantes del sitio engañados fueron inducidos a descargar un archivo ZIP que supuestamente contenía información sobre la situación de amenaza en Ucrania para el segundo trimestre de 2022, con actualizaciones regulares al descargarlo. Lo que contenía el archivo ofrecido era un RAT de PowerShell a medida.

El archivo ZIP incluye un archivo CHM con varios archivos HTML compilados. Al abrirlo, se muestra al usuario una notificación de error falsa. Mientras tanto, en segundo plano, el archivo inicia PowerShell, que ejecuta un desofuscador Base64 antes de recuperar y ejecutar un script malicioso desde el sitio falso de Baden-Württemberg. Finalmente, el script deja caer dos archivos en la máquina comprometida: un archivo .txt con el RAT escrito en PowerShell y un archivo .cmd que permite a PowerShell lanzarlo. El RAT recupera y carga archivos desde el servidor C&C, carga y ejecuta un script de PowerShell, y ejecuta un comando específico.

Atribuir estos ataques a actores de amenazas respaldados por Rusia sería bastante especulativo por el momento, pero la motivación de los adversarios se ajusta al patrón. 

Ajustar continuamente las defensas para superar a los adversarios puede parecer un desafío, ¡pero unidos permanecemos! Aprovecha el poder de la comunidad de ciberdefensa más grande del mundo de más de 23,000 profesionales del SOC para mejorar tus prácticas de seguridad con SOC Prime.