2min

De hackersgroep RATicate richt zijn pijlen op cloudopslagdiensten als Dropbox en Google Drive. Dat stelt Sophos op basis van onderzoek.

Sophos volgt de groep sinds begin mei, nadat het bedrijf de groep linkte aan vijf verschillende malwarecampagnes met dezelfde command and control-infrastructuur. De groep maakt gebruik van een drop remote administration tool (RAT) en andere malware om toegang te krijgen tot de computer van het slachtoffer, vandaar de naam RATicate.

RATicate gebruikte eerst NSIS-installers om de malware-payload uit te voeren op een computer, maar security-onderzoekers kunnen deze installers makkelijk analyseren. Als antwoord daarop werd de installer volgepropt met willekeurige bestanden zoals XML-data en Python-scripts.

CloudEyE

Nu heeft RATicate deze aangepaste NSIS-installers ingeruild voor een nieuwe install builder genaamd CloudEyE. De groep heeft CloudEyE eerder gebruikt om Guloader te bouwen, een nieuwe installer gebaseerd op Visual Basic 6.

Volgens Sophos is het met CloudEyE mogelijk om een tweetraps installer te bouwen. In de eerste stap wordt het systeem geïnfecteerd met de installer en in de tweede fase wordt de malware payload binnengehaald vanuit een externe URL. Hiermee kan RATicate kwaadaardige payloads inzetten op populaire cloudopslagdiensten als Dropbox of Google Drive, zonder dat dit wordt gedetecteerd door securityteams.

Malware-as-a-service

Uit verder onderzoek naar RATicate blijkt ook dat de groep een malware-as-a-service (MaaS)-model hanteert om zijn diensten en installers tegen betaling te verspreiden. Sophos vond verschillende malwarecampagnes die gelinkt konden worden aan eerdere campagnes van RATicate.

“Wat we vonden suggereerde dat RATicate optrad als MaaS, en dat externe partijen de infrastructuur van RATicate gebruikten om de malware van hun keuze uit te rollen”, schreef Sophos op een blog.

Een volledige lijst van RATicate-malware gebaseerd op CloudEyE kan je hier vinden op de GitHub-pagina van SophosLabs.