Detecção de Malware IceRAT: Pegue-me Se Puder
Índice:
IceRAT é uma ferramenta relativamente nova na arena maliciosa, sendo uma cepa única em relação às suas funcionalidades e táticas de evasão sem precedentes. Notavelmente, a ameaça possui taxas de detecção muito baixas, atuando como um malware furtivo capaz de roubar dados sensíveis e ativos financeiros das máquinas alvo.
O que é o malware IceRAT?
Apesar do nome, o IceRAT é mais uma backdoor do que um Trojan de acesso remoto. Suas principais funcionalidades são voltadas para infecções em cadeia e download de malware adicional, enquanto a funcionalidade tradicional de RAT (por exemplo, execução de comandos) está ausente. Desde sua descoberta em janeiro de 2020, o IceRAT infectou com sucesso vítimas com uma ampla gama de ladrões de informações, mineradores de criptomoedas, keyloggers e clippers. Notavelmente, o malware é distribuído principalmente através de campanhas de spam e “crackers” trojanizados. Por exemplo, a primeira versão detectada do IceRAT infectou vítimas via documentos maliciosos contendo download de software trojanizado para o navegador CryptoTab. O host e servidor C2 do IceRAT hxxp://malina1306.zzz(.)com.ua estão localizados em um site em cirílico, o que pode indicar que os desenvolvedores do IceRAT possam ser de origem leste-europeia ou russa. Embora o IceRAT não consiga fornecer controle remoto completo ao dispositivo alvo, deve ser considerado um software altamente perigoso capaz de infligir graves danos ao dispositivo, perda financeira e de dados, problemas de privacidade, bem como roubo de identidade.
Táticas de Evasão da Backdoor IceRAT
IceRAT em profundidade análise revela que é o primeiro malware já escrito em JPHP, uma implementação PHP rodando na VM Java. Consequentemente, o IceRAT depende de arquivos .phb em vez dos tradicionais arquivos .class do Java. Tal peculiaridade permite que a ameaça alcance uma taxa de detecção extremamente baixa no VirusTotal, uma vez que arquivos .php não são geralmente suportados por mecanismos de antivírus. Outra característica incomum que contribui para a evasão bem-sucedida é a arquitetura do IceRAT. A implementação é altamente fragmentada e evita colocar toda a funcionalidade em um só arquivo. Particularmente, o malware IceRAT usa múltiplos arquivos encarregados de executar cada função separadamente. Portanto, caso o componente downloader seja descoberto, pode ser considerado benigno, pois o conteúdo malicioso está ausente.
Detecção de Ataque IceRAT
Técnicas únicas de evasão aplicadas ao malware IceRAT tornam uma tarefa complicada detectar atividade maliciosa a tempo. Nosso desenvolvedor do programa Threat Bounty Osman Demir forneceu uma regra de caça a ameaças para defesa proativa:
https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness
MITRE ATT&CK:
Táticas: Descoberta, Persistência, Execução
Técnica: Descoberta de Processo (T1057), Chaves de Execução / Pasta de Inicialização do Registro (T1060), Instrumentação de Gerenciamento Windows (T1047)
Inscreva-se no Threat Detection Marketplace para acessar mais conteúdo de defesa proativa. Pronto para contribuir com as iniciativas de caça à ameaças? Junte-se ao nosso programa Threat Bounty para enriquecer a biblioteca de conteúdo SOC e compartilhar com a comunidade do Threat Detection Marketplace.
