Detectan ComRAT, un spyware sucesor de Agent.BTZ y Uroburos

Uroburos, el rootkit de origen ruso destinado a robar información sensible a organizaciones y gobiernos, entre ellos el Ministerio de Defensa belga, y el malware Agent.BTZ, responsable de la mayor brecha de seguridad sufrida por el departamento de defensa de Estados Unidos en 2008, tienen un digno sucesor. Así lo afirman los expertos de G Data SecurityLabs, que han descubierto ComRAT, un sofisticado spyware destinado al robo de información sensible, cuyas particularidades técnicas le conectan directamente con ambas amenazas.

Al igual que sus predecesores, ComRAT es un programa espía diseñado para el robo de información sensible de empresas, gobiernos, instituciones y otras organizaciones. G Data SecurityLabs lo ha bautizado así por el secuestro que hace de la interfaz de programación COM (Component Object Model), que le permite capturar información interceptando el tráfico de datos del propio navegador, y por su condición de RAT (Remote Access Tool), un programa malicioso que facilita a un atacante el control total remoto del sistema infectado.

Según los investigadores, la primera versión de ComRAT muestra los mismos cifrados y comportamientos que Agent.BTZ y Uroburos, y además los atacantes comparten un dominio de comando y control. Sin embargo, el análisis de una versión posterior del malware muestra que esta versión es más compleja y muestra mecanismos diferentes, posiblemente con el objetivo de borrar conexiones entre Agent.BTZ, Uroburos y ComRAT. En palabras de Ralf Benzmüller, responsable de G Data SecurityLabs, “nuestros análisis indican que los autores de Agent.BTZ y Uroburos permanecen activos ya que el código malicioso tiene muchas similitudes. Sin embargo, han conseguido modificarlo y mejorarlo pues ComRAT es más complejo y sin duda mucho más costoso de desarrollar”. Afortunadamente, G Data advierte que sus soluciones detectan y bloquean esta nueva amenaza.