Investigadores de la empresa de seguridad enSilo publicaron el hallazgo de un malware que busca evitar ser detectado evadiendo la función UAC (User Account Control) de Windows. Esta evasión la hace al explotar un fallo de diseño conocido.
El malware es un APT o amenaza persistente avanzada descubierto en la red de uno de sus clientes aunque no se sabe cómo llegó a la red.
Bautizado como Moker, el malware es un troyano de acceso remoto con capacidad para no ser detectado ni depurado. Evade y desactiva las medidas de seguridad de Windows, obtiene privilegios del sistema, puede ser controlado sin requerir conexión a Internet, y toma grandes medidas para eludir la investigación una vez que ha sido detectado.
El troyano evade las medidas de seguridad de Windows, como el UAC, y toma el control total del sistema víctima al crear una cuenta de usuario y abrir un canal RDP.
Con una capacidad para ayudar a los atacantes a saber todo lo que pasa en el equipo víctima, el malware graba lo que se teclea, lo que ve en la pantalla, el tráfico web, extraer archivos silenciomente, manipula los archivos del sistema, modifica la configuración de seguridad y se inyecta en diferentes procesos del sistema.
Los atacantes no tienen que controlar el malware de forma remota, ya que tiene capacidad para hacerlo a nivel del equipo víctima, lo que puede significar que el troyano permite al atacante suplantar al usuario del equipo víctima.
Se cree que Moker pudo ser un ataque dirigido al cliente de enSilo pero no se descarta que el comportamiento de Moker sean utilizado por futuras APT, por lo que en principio su infiltración podría no ser posible de parar. Las recomendaciones de los investigadores son:
- Bloquear en tiempo real todas las comunicaciones salientes maliciosas.
- Prevenir en tiempo real la manipulación maliciosa de archivos.
- Dar seguimiento a los intentos reales de comunicación/manipulación maliciosa para realizar análisis forense de ataque