Comunicados CCN-CERT

‘TROJ_QUANT’ y ‘CrossRat’, dos nuevos informes de código dañino del CCN-CERT

  • Los ID-12/18 e ID-13/18 están disponibles en la parte privada de su portal.
  • ‘TROJ_QUANT’ ha sido diseñado para realizar la descarga de otros códigos dañinos en los que se han visto involucradas diversas familias de troyanos bancarios, ransomware y RATs, mientras que el troyano identificado como CrossRat ha sido creado para tomar el control del sistema infectado.
  • Ambos envían información del sistema a los servidores de mando y control.

El CCN-CERT ha publicado en la parte privada de su portal los Informes de Código Dañino: CCN-CERT_ID-12-18_Troj_Quant, diseñado para realizar la descarga de otros códigos dañinos y el informe CCN-CERT_ID-13-18_CrossRat, un troyano con acceso remoto diseñado para tomar el control del sistema infectado.

En el caso de ‘TROJ_QUANT’, ya se han visto involucradas diversas familias de troyanos bancarios, ransomware y RATs. Su objetivo principal es el de instalarse en el sistema y consultar periódicamente con el servidor de mando y control, quedando a la espera de recibir órdenes para, finalmente, instalar las aplicaciones que el administrador de la botnet vea oportunas. La infección del equipo se produce al ejecutar el fichero que contiene el código dañino y, una vez que comienza su ejecución, realiza diversas opciones como: crear bucles de apertura de archivos y de creación de ventanas, descifrar un fragmento de memoria, cargar una librería para gestionar conexiones a Internet o realizar conexiones con el servidor de mando y control.

Por su parte, entre las acciones principales de ‘CrossRat’ se encuentran la de generar persistencia, tomar capturas de pantalla, listar los archivos del sistema e, incluso, enviarlos a los servidores de mando y control. Se trata de un troyano multiplataforma que se encuentra en su versión ‘0.1’ y, tras analizar su código fuente, se observa que su desarrollo no se encuentra acabado. Bajo el nombre de archivo “hmar6.jar”, utiliza ingeniería social para su propagación mediante el envío de mensajes a través de grupos de Facebook y WhatsApp.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Información y características del código dañino
  • Procedimiento de infección
  • Cifrado y ofuscación
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante

Además, se incluyen diversos Anexos con reglas de detección (Snort y Yara) e Indicadores de Compropiso (IoC).

Ambos informes están disponibles para su descarga en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (09/05/2018)

 

Ministerio de Defensa
CNI
CCN
CCN-CERT