11 de noviembre de 2015

Entre muchos tipos de programas nocivos existe una categoría de aplicaciones no nocivas que aún así pueden ser usadas por los malintencionados con propósitos ilegales. Se trata de los así llamados programas de administración remota que pueden ser usados tanto de forma muy legal — para administrar un equipo por la red, como ilegal: con el mismo objetivo, pero sin que el usuario lo sepa. Los especialistas de la empresa antivirus Doctor Web han estudiado un esquema de ataque usado, para el cual se usaba una aplicación difundida de forma legal para el acceso remoto.

Un paquete entero de programas nocivos llamado BackDoor.RatPack fue difundido por los ciberdelincuentes usando el exploit Exploit.CVE2012-0158.121 como documento en formato RTF, al intentar abrir el cual en el equipo de la víctima se descifraba y se guardaba un archivo nocivo. Cabe destacar que este archivo que es un programa instalador tiene una firma digital válida (igual que casi todos los archivos del conjunto BackDoor.RatPack).

Al iniciar, el instalador intenta detectar la existencia de máquinas virtuales en el equipo atacado, así como de programas monitores y depuradores, y luego comprueba la existencia de programas banca-cliente en el sistema de varias entidades rusas de crédito. En caso de haber realizado todas las comprobaciones con éxito, el instalador descarga del servidor de los malintencionados e inicia en el equipo atacado otro instalador en formato NSIS (Nullsoft Scriptable Install System) que contiene otro conjunto de archivos ejecutables y varios archivos archivados protegidos con contraseñas. Este instalador descomprime los archivos e inicia los archivos ejecutables.

Una carga útil para el instalador son varias opciones de la utilidad muy legal condicionalmente gratuita Remote Office Manager — los expertos de la empresa Doctor Web detectaron como mínimo dos opciones de este tipo con varios ajustes de configuración. Al interceptar varias funciones del sistema, el programa nocivo oculta los iconos de esta utilidad en el área de notificación y la barra de tareas Windows, para que el usuario no lo detecte de forma oportuna. También se puede suponer que por medio de aplicar BackDoor.RatPack los malintencionados intentan obtener acceso a las cuentas bancarias y a la información confidencial almacenada en el equipo atacado, administrando de forma remota el equipo infectado.

Las firmas de todos los archivos nocivos que forman parte de BackDoor.RatPack fueron añadidas a las bases de virus Dr.Web y por lo tanto no suponen peligro para los usuarios de nuestros productos antivirus.