Los usuarios de aplicaciones chinas de mensajería instantánea como DingTalk y WeChat son atacados por una versión Apple macOS de una puerta trasera llamada RATA HZ.
Los artefactos “replican casi exactamente la funcionalidad de la versión de Windows de la puerta trasera y difieren sólo en la carga útil, que se recibe en forma de scripts de shell del servidor de los atacantes”, dijo el investigador de Kaspersky Sergey Puzan. dicho.
HZ RAT fue documentado por primera vez por la empresa alemana de ciberseguridad DCSO en noviembre de 2022, y el malware se distribuyó a través de archivos zip autoextraíbles o documentos RTF maliciosos presuntamente creados con el arma Royal Road RTF.
Las cadenas de ataque que involucran documentos RTF están diseñadas para implementar la versión de Windows del malware que se ejecuta en el host comprometido mediante la explotación de una falla de Microsoft Office de años de antigüedad en el editor de ecuaciones (CVE-2017-11882).
El segundo método de distribución, por otro lado, se hace pasar por un instalador de software legítimo como OpenVPN, PuTTYgen o EasyConnect, que, además de instalar el programa señuelo, también ejecuta un script de Visual Basic (VBS) responsable de iniciar el RAT. .
La funcionalidad de HZ RAT es bastante simple ya que se conecta a un servidor de comando y control (C2) para recibir más instrucciones. Esto incluye ejecutar comandos y scripts de PowerShell, escribir archivos arbitrarios en el sistema, cargar archivos en el servidor y enviar información de latidos.
Dada la funcionalidad limitada de la herramienta, se sospecha que el malware se utiliza principalmente para actividades de recolección de credenciales y reconocimiento del sistema.
La evidencia muestra que las primeras iteraciones del malware se detectaron en estado salvaje ya en junio de 2020. La campaña en sí, según la DCSO, ha estado activa desde al menos octubre de 2020.
La última muestra descubierta por Kaspersky, cargada en VirusTotal en julio de 2023, se hace pasar por OpenVPN Connect (“OpenVPNConnect.pkg”) que, una vez iniciado, establece contacto con un servidor C2 especificado en la puerta trasera para ejecutar cuatro comandos similares a su contraparte de Windows. –
- Ejecutar comandos de shell (por ejemplo, información del sistema, dirección IP local, lista de aplicaciones instaladas, datos de DingTalk, Google Password Manager y WeChat)
- Escribir un archivo en el disco
- Enviar un archivo al servidor C2
- Comprobar la disponibilidad de una víctima.
“El malware intenta obtener el ID de WeChat, la dirección de correo electrónico y el número de teléfono de WeChat de la víctima”, dijo Puzan. “En cuanto a DingTalk, los atacantes están interesados en datos más detallados sobre la víctima: el nombre de la organización y departamento donde trabaja el usuario, nombre de usuario, dirección de correo electrónico de la ‘empresa’. [and] número de teléfono.”
Un análisis más detallado de la infraestructura de ataque reveló que casi todos los servidores C2 están ubicados en China, excepto dos, que tienen su sede en Estados Unidos y Países Bajos.
Además, se informó que el archivo ZIP que contiene el paquete de instalación de macOS (“OpenVPNConnect.zip”) se descargó previamente de un dominio propiedad de un desarrollador de videojuegos chino llamado miHoYo, conocido por Genshin Impact y Honkai.
Actualmente no está claro cómo se cargó el archivo en el dominio en cuestión (“vpn.mihoyo”).[.]com”) y si el servidor estuvo comprometido en algún momento en el pasado. Tampoco está claro qué tan extendida está la campaña, pero el hecho de que la puerta trasera se esté utilizando incluso después de todos estos años indica cierto grado de éxito.
“La versión macOS de HZ Rat que encontramos muestra que los actores de amenazas detrás de ataques anteriores todavía están activos”, dijo Puzan. “El malware solo recopilaba datos del usuario, pero luego podía usarse para moverse lateralmente a través de la red de la víctima, como lo sugiere la presencia de direcciones IP privadas en algunas muestras. »