De acordo com uma investigação realizada pela RSA, foi possível descobrir a existência de mais uma ferramenta de acesso remoto/ Trojan (RAT) que está sendo utilizado em campanhas de espionagem cibernética. Apelidado GlassRAT, a praga, que foi descoberta em abril deste ano de 2015, tem as capacidades habituais deste tipo de malware: o roubo de informações (que é a principal delas), exfiltração de arquivos, download de arquivos adicionais (maliciosos), criação de processos no computador de destino, dentre outras atividades maliciosas. Porém, o que torna este RAT especial é o fato de que ele tem sido fortemente usado nos últimos três anos e, até muito recentemente, não foi detectado por solução de software AV. Os pesquisadores da RSA foram alertados primeiro a respeito de algum malware que apresentava detecção de zero específica pela equipe de serviços de resposta a incidentes da RSA.
Além disso, também é notável que a primeira amostra observada deste malware de “detecção zero” pode ter sido implementada desde setembro de 2012, tendo o tempo de compilação como um indicador. O malware é assinado com um certificado aparentemente roubado de um desenvolvedor de software oriundo de Pequim, cujo popular software é usado por mais de meio bilhão de usuários em todo o mundo. Assim, é válido lembrar que GlassRAT emprega muitos dos sinais indicadores de eficácia em suas atividades. O seu drop-down é assinado usando um certificado comprometido de um editor confiável e muito conhecido. Depois disso, ele é excluído devido à sua carga ser entregue com sucesso. E uma vez instalado, o arquivo DLL malicioso persiste abaixo do radar de endpoint antivírus. Um ponto importante a ser ressaltado, é que esta última campanha empregando o malware parece visar cidadãos chineses associados a grandes corporações multinacionais, dentro e fora da China.
A infra-estrutura de C & C do malware, pode estar intimamente ligada a campanhas anteriores de segmentação (com outro malware) às forças armadas das Filipinas e do governo da Mongólia. Sendo assim, as evidências sugerem que o componente dropper do malware é oferecido às vítimas como uma atualização do Adobe Flash Player. Ambos, tanto o Adobe quanto a Symantec foram indiretamente afetados por esta praga (Symantec através do certificado Verisign roubado), e é provável que o malware em breve seja detectado por um número cada vez maior de software.
Fontes: http://under-linux.org/content.php?r=9788
http://blogs.rsa.com/wp-content/uploads/2015/11/GlassRAT-final.pdf
