I ricercatori di Malwarebytes Threat Intelligence hanno scoperto e analizzato sul blog dell’azienda un nuovo RAT personalizzato e avanzato, noto come Woody RAT. Da ciò che è emerso dall’analisi dei ricercatori, il RAT, ovvero Remote Access Tool, è stato sviluppato da uno o più hacker i cui attacchi sono rivolti a soggetti russi. Al momento, però, gli operatori non sono stati individuati con precisione.

Il metodo di distribuzione prevede l’uso di file-esca in formato archivio e, di recente, anche documenti Office, con cui sfruttano la nota vulnerabilità Follina.

È emerso anche un tentativo di attacco nei confronti di un ente operativo nei settori aerospaziale e difesa noto come OAK, sempre di nazionalità russa.

Woody RAT è un malware molto avanzato, come riscontrato dai ricercatori, e implementa diverse funzionalità per l’elusione del monitoraggio di rete, ad esempio sfruttando la crittografia dei dati per le richieste HTTP al server C2.

Tramite richieste endpoint, il malware invia al server C2 una serie di informazioni, che includono gli antivirus installati, la versione build del sistema operativo, dati sulle unità di archiviazione (percorso, nome interno e così via), interfacce di rete, un elenco di tutti gli account utente e molto altro.

Il RAT sfrutta diversi thread, ad esempio per comunicare con il server ed eseguire comandi ricevuti dal C2. La sincronizzazione dei thread avviene tramite eventi e mutex.

I comandi sono vari, e includono la possibilità di caricare file nella macchina infetta, eseguire comandi inviati dal server C2 tramite la creazione di un processo cmd.exe, eliminare file, effettuare screenshot del desktop e altri ancora, come elencati e descritti nell’analisi presente sul suddetto blog. Sembra che, una volta creati i thread dei comandi, il malware si elimini dal disco in automatico.

L’elenco delle funzioni e dei comandi è davvero lungo e dimostra quanto sia avanzato e capace questo RAT. L’aspetto preoccupante, poi, è che, secondo i ricercatori di Malwarebytes, Woody RAT circoli già da almeno un anno, in ogni caso l’azienda blocca già l’exploit Follina sfruttato nell’ultima campagna in cui è stato impiegato il malware, inoltre sembra che i payload binari siano già stati individuati.