Se detecta de nuevo actividad de Cardinal RAT

• Publicado: 24/03/2019
• Importancia: Media

---

Recursos afectados

Inicialmente el malware se entrega a través de un descargador denominado "Carp", que utiliza macros
maliciosas en documentos de Microsoft Excel para compilar el código fuente incrustado en un ejecutable,
que luego implementa la familia de malware Cardinal RAT.
En el análisis de la última versión del malware realizado por Unit 42, parece que los responsables del
malware han implementado nuevas técnicas de ofuscación. La primera se basa en la esteganografía,
comprobando que en la muestra inicial hay incrustado un archivo BMP, que tras la ejecución el malware
leerá este archivo, analizará los datos de píxeles concretos de la imagen y descifrará el resultado para la
obtención de una DLL compilada también en .NET.
Después de que la DLL se cargue en memoria el loader inicial se cargará y ejecutará la función "corerun"
que iniciará la segunda etapa del malware. En esta etapa la DLL leerá los "strings" incrustados, que se
obtienen de la primera etapa, para crear el archivo de configuraciones del malware:
"%TEMP%\[random].ini"
El malware además genera un archivo LNK en la carpeta de inicio de la víctima con un nombre aleatorio.
El cual se utilizará para alojar la carga principal en una de las rutas creadas por el malware e inyectar su
código en ejecutables legítimos del sistema (RegSvcs.exe, RegAsm.exe).
Los cambios más notables respecto a las versiones anteriores del malware son las técnicas de ofuscación
realizadas. Aunque algunos otros cambios se han analizado, como el orden de los valores incrustados o la
decodificación de esos valores. Las comunicaciones con los servidores C&C así como los ataques en la
víctima se mantienen:
• Recopilar información de la víctima.
• Actuar como un proxy inverso.
• Ejecutar comandos.
• Recuperar contraseñas.
• Descargar y ejecutar nuevos archivos.
• Keylogger.
• Capturas de pantalla de captura.
• Actualizar Cardinal RAT.
• Limpiar las cookies de los navegadores.