El informe ‘CCN-CERT ID-22/19’ recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.

El Informe de Código Dañino CCN-CERT ID-22/19 “Rarog» ya se puede consultar en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.

Algunas de las principales características que presenta ‘Rarog’ son que recolecta información del sistema, que cifra el dominio del C&C en su interior, que mantiene conexiones con un panel de control y que puede llevar a cabo descargas de otros códigos dañinos o módulos.

En cuanto al procedimiento de infección del sistema, este se produce al ejecutar el fichero que contiene el código dañino. Una vez que comienza su ejecución, es capaz de realizar las siguientes acciones en el dispositivo de la víctima:

• Carga cadenas de texto relacionadas con un módulo de log de Rarog.
• Inicia la recolección de información acerca del sistema.
• Busca el proceso “explorer.exe” entre los procesos.
• Ejecuta una rutina generación de nombres aleatorios
• Crea un directorio en ProgramData donde copia el código dañino.
• Realiza la extracción de la hora y fecha y aglutina la información en un array.
• Una rutina de descifrado genera el nombre del dominio del C&C.
• Se identifica un User-Agent.
• Crea una tarea programada con ShellExecuteA.
• Crea una tarea programada con CreateProcessW.
• Realiza peticiones a Internet.
• Trata de borrarse a sí mismo.

Para la desinfección del equipo de forma automática se aconseja la utilización de herramientas antivirus actualizadas. Una vez localizadas las aplicaciones dañinas, se elige la opción de desinfección. Si se opta por una desinfección manual, habría que revisar si el código dañino ha generado persistencia, mediante la revisión de la tarea programada recogida en el apartado de persistencia en el informe. Tras identificar el proceso dañino, sería posible finalizarlo desde el administrador de tareas y eliminando o deshabilitando la ejecución desde la herramienta de Task Scheduler de Windows. En última instancia, se aconseja el formateo y la reinstalación completa, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Además de las características, el procedimiento de infección y desinfección, así como la persistencia, el documento también incluye otros apartados de interés, tales como la ofuscación, conexiones de red, archivos relacionados, información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.