Grupo de ciberespionaje utiliza la interfaz de Gmail para su centro de mando y control

El grupo Turla actualiz贸 su backdoor ComRAT y ahora tambi茅n monitorea los archivos de registros para verificar si las muestras de su malware fueron detectadas por soluciones de seguridad.

Investigadores de ESET descubrieron una nueva versi贸n de una de las familias de malware del grupo Turla m谩s antiguas: el backdoor ComRAT. Turla, tambi茅n conocido como Snake, es un grupo de ciberespionaje que lleva activo m谩s de diez a帽os.

La funci贸n m谩s interesante del nuevo backdoor de Turla es que utiliza la interfaz de usuario de Gmail para recibir comandos y extraer informaci贸n. ComRAT roba documentos sensibles y desde 2017 atac贸 al menos a tres entidades gubernamentales. ESET encontr贸 indicios de que la 煤ltima versi贸n de ComRAT todav铆a estaba en uso a principios de a帽o, con lo que se demuestra que el grupo de ciberdelincuentes sigue estando muy activo y representa una amenaza para militares y diplom谩ticos.

El objetivo principal de ComRAT es robar documentos confidenciales. En uno de los casos, sus operadores incluso desplegaron un ejecutable .NET para interactuar con la base de datos MS SQL Server principal de la v铆ctima, en la que se encontraban documentos de la organizaci贸n. Los operadores de este malware utilizaron servicios cloud p煤blicos, como OneDrive o 4shared, para extraer los datos. La 煤ltima versi贸n del backdoor Turla, adem谩s, puede llevar a cabo otras acciones en equipos comprometidos, como ejecutar programas o extraer archivos.

El hecho de que los ciberdelincuentes est茅n intentando evadir los programas de seguridad es preocupante. 鈥淓sto muestra el nivel de sofisticaci贸n del grupo y su intenci贸n de quedarse en las m谩quinas infectadas durante mucho tiempo鈥, explica Matthieu Faou, responsable de la investigaci贸n sobre el grupo Turla desde hace a帽os. 鈥淎dem谩s, la 煤ltima versi贸n de ComRAT, gracias al uso de la interfaz web de Gmail, es capaz de superar algunos de los controles de seguridad, ya que no se encuentra alojada en un dominio malicioso鈥, a帽ade Faou.

ESET descubri贸 la actualizaci贸n del backdoor en 2017. Utiliza una base de c贸digo completamente nueva y es mucho m谩s compleja que sus predecesoras. Los investigadores de ESET encontraron la interacci贸n m谩s reciente del backdoor compilada en noviembre de 2019.

鈥淪i nos basamos en el tipo de v铆ctimas y en otras muestras de malware encontradas en las mismas m谩quinas comprometidas, creemos que Turla es el 煤nico grupo que utiliza ComRAT鈥, afirma Faou.

ComRAT tambi茅n es conocida como Agent.BTZ, un backdoor malicioso que se hizo popular despu茅s de ser usado contra el ej茅rcito de EEUU en 2008. La primera versi贸n de este malware, probablemente publicado en 2007, mostraba capacidades de gusano inform谩tico y se distribu铆a a trav茅s de unidades extra铆bles.


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.