Los piratas informáticos rusos de APT utilizan el malware de puerta trasera de Crutch para almacenar datos robados en Dropbox

Los investigadores de ESET han documentado un nuevo malware de puerta trasera llamado Crutch. Ellos tienen vinculó esto a una APT respaldada por Rusia llamada Turla, que se ha utilizado para robar y filtrar datos confidenciales del gobierno y otras agencias durante años. Se informa que Crutch está usando Dropbox para almacenar datos robados, lo que también ayuda a evitar la detección.

APT ruso que usa malware basado en Dropbox

Los piratas informáticos rusos de APT utilizan el malware de puerta trasera Crutch

Cómo Los investigadores de ESET informaron, APT Turla Russo utilizó un nuevo malware de puerta trasera llamado Crutch para robar documentos confidenciales en sus campañas.

Grupo Turla también se conoce como Escarabajo de agua y Oso venenoso en algunos informes y se origina en 1996, pirateando y robando datos de miles de empresas desde entonces.

Ahora, esta reportado para estar usando Crutch, que no tenía documentos hasta este año, pero que fue utilizado por Turla desde 2015 para atacar agencias como el Ministerio de Relaciones Exteriores de países de la Unión Europea. Crutch se destaca por su capacidad especial para utilizar el servicio legítimo: Dropbox para sus fines.

Está diseñado para mezclar sus comunicaciones con el tráfico legítimo de Dropbox, que se realiza a través de HTTPS, por lo que el software de detección de malware no sospecha de él. También puede almacenar y filtrar los datos de las víctimas robadas en la cuenta de Dropbox administrada por los operadores de malware.

Crutch es un malware de puerta trasera de segunda etapa utilizado por el grupo Turla, ya que los investigadores encontraron vínculos entre el mecanismo de los dos grupos. El uso de la clave RC4 para descifrar cargas útiles para los mismos nombres de archivo y rutas de PDB casi similares es la razón por la que los investigadores vincularon esto a Turla.

Crutch se implementa después de usar Skipper como malware en los ataques comprometedores iniciales, con muchas herramientas de código abierto como Imperio de PowerShell Instrumentos.

Los investigadores también encontraron una nueva versión de este malware capaz de cargar automáticamente archivos desde unidades locales y extraíbles a su cuenta de Dropbox, utilizando la Windows Wget Utilidad.