Nueva versión del malware ComRat usa Gmail con C&C

Se ha descubierto una nueva versión del ‘backdoor’ ComRAT descubierto en 2017 y que surgió como evolución de Agent.BTZ. ComRAT es una de las puertas traseras conocidas más antiguas utilizadas por el grupo Turla APT, que aprovecha la interfaz web de Gmail para recibir comandos de manera encubierta y filtrar datos confidenciales.

Turla ha sido uno de los malware que acumulan un mayor historial delictivo a sus espaldas, no tanto por volumen sino por la gravedad de sus ataques. Ejemplo de esto son el hackeo las redes militares estadounidenses, a las Fuerzas Armadas francesas en 2018 y al Ministerio de Relaciones Exteriores de Austria a principios este año.

La empresa ESET ha llevado a cabo una investigación que ha revelado su uso para atacar a al menos tres objetivos: dos Ministerios de Relaciones Exteriores en Europa del Este y un parlamento nacional en la región del Cáucaso.

Una vez visto el perfil de los objetivos donde ha sido descubierto este malware podemos comprender qué tipo de intereses y objetivos puede tener este grupo delictivo.

La nueva versión de ComRAT tiene como objetivo filtrar documentos confidenciales e integra tiene como nuevas funcionalidades

• Una base de código completamente renovada y más sofisticada que su predecesor.
• Se instala a través de PowerStallion, una puerta trasera en PowerShell.
• Inyecta un módulo en el navegador para poder comunicarse con su C&C.

Más información:

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/