El malware Escanor RAT se despliega a través de documentos de Microsoft Office y PDF

Una nueva herramienta de administración remota (RAT) que utiliza documentos de Microsoft Office y Adobe PDF para distribuir código malicioso ha sido descubierta en foros de la web oscura y canales de Telegram.

El malware fue descubierto por los investigadores de seguridad de Resecurity durante el fin de semana y apodado Escanor en un aviso publicado el domingo 21 de agosto de 2022.

"Los actores de la amenaza ofrecen versiones de RAT basadas en Android y en PC, junto con un módulo de computación de red virtual oculta (HVNC) y un constructor de exploits para convertir en armas los documentos de Microsoft Office y Adobe PDF para entregar código malicioso", se lee en el documento.

Según el equipo de Resecurity, la RAT se puso a la venta por primera vez el 26 de enero de 2022. Diseñado inicialmente como un implante HVNC, el malware simplemente permitía a los atacantes establecer una conexión remota silenciosa con el ordenador de la víctima. Posteriormente, la herramienta evolucionó hasta convertirse en una RAT comercial a gran escala con un rico conjunto de características. 

"Escanor ha construido una reputación creíble en la web oscura, y atrajo a más de 28.000 suscriptores en el canal de Telegram", escribió Resecurity.

"En el pasado, el actor con el mismo apodo lanzó versiones 'crackeadas' de otras herramientas de la web oscura, incluyendo Venom RAT, y Pandora HVNC que probablemente se utilizaron para enriquecer aún más la funcionalidad de Escanor".

En cuanto a la versión móvil de Escanor (apodada "Esca RAT"), el malware es utilizado activamente por los ciberdelincuentes para atacar a los clientes de banca online mediante la interceptación de códigos de contraseñas de un solo uso (OTP).

"La herramienta puede usarse para recoger las coordenadas GPS de la víctima, monitorizar las pulsaciones del teclado, activar cámaras ocultas y navegar por los archivos de los dispositivos móviles remotos para robar datos", dice el aviso.

Además, Resecurity advirtió que el nombre de dominio utilizado por Escanor había sido identificado previamente en relación con Arid Viper, un grupo activo en la región de Oriente Medio en 2015 y conocido por atacar principalmente activos militares israelíes.

En cuanto a Escanor, la mayoría de sus víctimas fueron identificadas en Estados Unidos, Canadá, Emiratos Árabes Unidos, Arabia Saudí, Kuwait, Bahréin, Egipto, Israel, México y Singapur, con algunas infecciones detectadas en el sudeste asiático.*

*Fuente: https://www.infosecurity-magazine.com/news/escanor-rat-malware-microsoft-pdf/