Investigadores de ciberseguridad han detectado un troyano de acceso remoto (RAT) basado en Rust no documentado previamente y con nombre en código LabubaRAT que se hace pasar por software de NVIDIA para integrarse en los entornos de destino.
“LabubaRAT crea un punto de apoyo reutilizable para la actividad práctica”, dijeron los investigadores de Blackpoint Cyber Sam Decker y Nevan Beal en un análisis publicado hoy. “Una vez implementado, puede perfilar el host, identificar herramientas de seguridad, recibir comandos del operador, mover archivos, capturar capturas de pantalla y tráfico proxy a través del sistema afectado”.
El implante también admite múltiples métodos de comunicación, incluidos HTTPS, WebView2 y túneles DNS, lo que permite a los atacantes mantener el acceso a los hosts comprometidos incluso si se detecta y cierra una ruta. Hay algunos indicios de que LabubuRAT se ofrece bajo un modelo de malware como servicio (MaaS).
El punto de partida de la cadena de ataque es un ejecutable llamado “nvidia-sysruntime.exe”, que se hace pasar por el kit de herramientas de ejecución de contenedores de NVIDIA. El ejemplo, en lugar de codificar su información de comando y control (C2), acepta una configuración de tiempo de ejecución a través de argumentos de línea de comandos.
Esto permite al operador de la campaña definir varios parámetros que son clave para establecer la comunicación con el servidor remoto, incluidos los detalles del servidor (“pipicka(.)xyz”) y el intervalo de sondeo utilizado por el implante. Alternativamente, el atacante también puede proporcionar estos valores individuales en forma de un único argumento codificado en Base64.
“Debido a que esos valores se proporcionaron en el lanzamiento, el mismo binario compilado podría reutilizarse con diferentes infraestructuras, organizaciones o grupos de campañas en lugar de depender de un servidor codificado”, señalaron los investigadores.
Luego, la configuración se almacena en una base de datos SQLite local, tras lo cual realiza operaciones de descubrimiento para inventariar la lista de navegadores web y productos de seguridad instalados en el host, verificando específicamente la presencia de Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec y Trend Micro.
Además, recopila el nombre de host, el tamaño de RAM, el modelo de CPU y el estado del Control de cuentas de usuario (UAC) de Windows como una forma de preparar el entorno para la siguiente etapa, ya que algunas funciones de RAT pueden estar dictadas por las herramientas de seguridad presentes en el sistema.
Una vez iniciado, LabubaRAT admite una amplia gama de funciones, como ejecución de comandos, ejecución de PowerShell, ejecución de JavaScript, captura de pantalla, carga y descarga de archivos, manejo de archivos y compatibilidad con proxy SOCKS5.
“Esas capacidades le dieron al operador suficiente control para interactuar con el host, mover archivos dentro y fuera del entorno, enrutar el tráfico a través del sistema y mantener el acceso sin depender de un cargador separado o una herramienta de seguimiento de alcance limitado”, dijo Blackpoint Cyber.
El malware es una referencia al título “LabubaPanel” asociado con su infraestructura C2 y un favicon con temática de Labubu.
“La muestra combinó configuración de tiempo de ejecución, estado local, perfiles de host, múltiples rutas de comunicación y tareas del operador en una herramienta completa de acceso remoto”, dijo Blackpoint Cyber. “El malware le dio al operador una forma práctica de inscribir hosts, comprender el entorno alrededor de cada agente, ejecutar comandos, mover archivos, capturar capturas de pantalla, tráfico proxy y mantener el inicio automático a nivel de usuario”.
“La marca LabubaPanel proporcionó la pista de nomenclatura externa más clara, pero el hallazgo más importante es la estructura similar a un marco detrás de ella: una RAT basada en Rust diseñada para ser configurada, inscrita y operada en múltiples implementaciones”.