Uroburos, caso abierto

Los expertos de G DATA SecurityLabs han descubierto y analizado un sofisticado spyware destinado al robo de información sensible. Lo más sorprendente de dicho análisis es que sus particularidades técnicas le conectan directamente con Uroburos, el rootkit de origen ruso también descubierto por el fabricante alemán, y el malware Agent.BTZ, protagonista de uno de los ciberataques más graves sufridos por el departamento de defensa de EE.UU en 2008. Las soluciones de G DATA detectan y bloquean esta nueva amenaza.

En febrero de 2014, los expertos de G DATA SecurityLabs publicaron un completo análisis del rootkit Uroburos, un sofisticado y complejo malware de origen ruso destinado a robar información sensible a organizaciones y gobiernos y que, entre otros, había afectado al Ministerio de Defensa belga. Su comportamiento, cifrado y otros detalles técnicos lo conectaban directamente con una amenaza anterior, el famoso Agent.BTZ, responsable de la mayor brecha de seguridad informática sufrida por el departamento de defensa norteamericano.

Nueve meses después de todo el ruido generado por Uroburos, también denominado "Snake" o "Turla", los expertos de la compañía han identificado un nuevo y complejo spyware cuyo análisis minucioso la conecta directamente con las dos amenazas ya mencionadas y le convierte en el sucesor de Agent.BTZ.

ComRAT es un sofisticado spyware destinado al robo de información sensible en empresas, gobiernos, instituciones y organizaciones similares. G DATA SecurityLabs lo ha bautizado de esta forma por sus particularidades técnicas, por el secuestro que hace de la interfaz de programación COM (Component Object Model), que le permite capturar información interceptando el tráfico de datos del propio navegador, y por su condición de RAT (Remote Access Tool o herramienta de acceso remoto). Un RAT es un programa malicioso que facilita a un atacante el control total y en remoto del sistema infectado.

La primera versión de ComRAT analizada por G DATA SecurityLabs muestra los mismos cifrados y comportamientos que las amenazas anteriormente mencionadas. Además, los atacantes también comparten un dominio de comando y control. Sin embargo, un análisis de una versión posterior del malware permite comprobar que esta versión más moderna es claramente más compleja y muestra mecanismos diferentes, posiblemente con el objetivo de borrar conexiones entre Agent.BTZ, Uroburos y el propio ComRAT.

"ComRAT es la última generación de los programas espía Agent.BTZ y Uroburos. Al igual que estos, ComRAT está diseñado para infiltrarse en grandes redes empresariales, organizaciones e instituciones públicas", explica Ralf Benzmüller, responsable de G DATA SecurityLabs. "Nuestros análisis indican que los autores de Agent.BTZ y Uroburos permanecen activos ya que el código malicioso tiene muchas similitudes. Sin embargo, han conseguido modificarlo y mejorarlo pues ComRAT es más complejo y sin duda mucho más costoso de desarrollar", explica Ralf Benzmüller, experto en seguridad de G DATA SecurityLabs.