Cisco Talos ha descubierto un nuevo troyano de acceso remoto (RAT), al que llamamos "MagicRAT", que atribuimos con una confianza moderada a alta al actor de amenazas Lazarus , un APT patrocinado por el estado atribuido a Corea del Norte por la Seguridad Cibernética de EE. UU. y Agencia de Infraestructura (CISA).
Esta nueva RAT se encontró en víctimas que se habían visto comprometidas inicialmente a través de la explotación de plataformas VMware Horizon expuestas públicamente. Si bien es una capacidad RAT relativamente simple, se creó con el recurso Qt Framework , con la única intención de hacer que el análisis humano sea más difícil y la detección automatizada a través del aprendizaje automático y la heurística sea menos probable.
El descubrimiento de MagicRAT en la naturaleza es una indicación de las motivaciones de Lazarus para crear rápidamente un nuevo malware personalizado para usarlo junto con su malware previamente conocido, como TigerRAT, para atacar a organizaciones en todo el mundo.
El malware se propaga utilizando técnicas de phishing e ingeniería social. Los programas maliciosos generalmente se disfrazan o se incluyen con software/medios ordinarios.
Los métodos de distribución de malware más comunes incluyen: descargas ocultas, estafas en línea, archivos adjuntos/enlaces maliciosos en correos electrónicos y mensajes de spam, canales de descarga no confiables (por ejemplo, sitios web no oficiales y gratuitos, redes de intercambio P2P, etc.), herramientas de activación de programas ilegales ("grietas") y actualizaciones falsas por lo que es importante aprender a diferenciar y no confiar en todo lo que vemos en el Internet.
