Los investigadores de ciberseguridad han arrojado luz sobre un nuevo troyano de acceso remoto y ladrón de información utilizado por actores patrocinados por el estado iraní para realizar reconocimientos de puntos finales comprometidos y ejecutar comandos maliciosos.
La empresa de ciberseguridad Check Point ha puesto el nombre en código del malware WezRatafirmando que se ha detectado en la naturaleza desde al menos el 1 de septiembre de 2023, según los artefactos cargados en la plataforma VirusTotal.
“WezRat puede ejecutar comandos, tomar capturas de pantalla, cargar archivos, realizar registros de teclas y robar contenido del portapapeles y archivos de cookies”, dijo en un informe técnico. “Algunas funciones se realizan mediante módulos separados recuperados del servidor de comando y control (C&C) en forma de archivos DLL, lo que hace que el componente principal de la puerta trasera sea menos sospechoso”.
Se considera que WezRat es obra de Cotton Sandstorm, un grupo de hackers iraní más conocido bajo los nombres encubiertos de Emennet Pasargad y, más recientemente, Aria Sepehr Ayandehsazan (ASA).
El malware fue documentado por primera vez a finales del mes pasado por agencias de ciberseguridad estadounidenses e israelíes, describiéndolo como una “herramienta de explotación para recopilar información sobre un punto final y ejecutar comandos remotos”.
Las cadenas de ataques, según las autoridades gubernamentales, implican el uso de instaladores troyanizados de Google Chrome (“Google Chrome Installer.msi”) que, además de instalar el navegador web legítimo Chrome, está configurado para ejecutar un segundo binario llamado “Updater.exe”. (llamado internamente “bd.exe”).
El ejecutable cargado de malware, por su parte, está diseñado para recopilar información del sistema y establecer contacto con un servidor de comando y control (C&C) (“connect.il-cert(.)net”) para esperar más instrucciones.
Check Point dijo que había observado la distribución de WezRat a varias organizaciones israelíes como parte de correos electrónicos de phishing que se hacían pasar por la Dirección Nacional Cibernética de Israel (INCD). Los correos electrónicos, enviados el 21 de octubre de 2024, se originaron en la dirección de correo electrónico “alert@il-cert(.)net” e instaban a los destinatarios a instalar urgentemente una actualización de seguridad de Chrome.
“La puerta trasera se ejecuta con dos parámetros: connect.il-cert.net 8765, que representa el servidor C&C, y un número utilizado como ‘contraseña’ para permitir la ejecución correcta de la puerta trasera”, dijo Check Point, señalando que proporcionar una contraseña incorrecta podría hacer que el malware “ejecute una función incorrecta o potencialmente falle”.
“Las versiones anteriores de WezRat tenían direcciones de servidor C&C codificadas y no dependían del argumento ‘contraseña’ para ejecutarse”, dijo Check Point. “WezRat inicialmente funcionó más como un simple troyano de acceso remoto con comandos básicos. Con el tiempo, se incorporaron funciones adicionales como capacidades de captura de pantalla y un registrador de teclas, que se manejaron como comandos separados”.
Además, el análisis realizado por la empresa sobre el malware y su infraestructura backend sugiere que hay al menos dos equipos diferentes que participan en el desarrollo de WezRat y sus operaciones.
“El continuo desarrollo y perfeccionamiento de WezRat indica una inversión dedicada a mantener una herramienta versátil y evasiva para el ciberespionaje”, concluyó.
“Las actividades de Emennet Pasargad tienen como objetivo varias entidades en Estados Unidos, Europa y Medio Oriente, lo que representa una amenaza no sólo para los adversarios políticos directos sino también para cualquier grupo o individuo con influencia sobre la narrativa nacional o internacional de Irán”.
