Patchwork, um agente de ameaças baseado na Índia, infectou-se acidentalmente com um Trojan de Administração Remota (RAT). O incidente irônico foi descoberto pela Malwarebytes, que aproveitou a oportunidade para obter informações sobre como o Patchwork utiliza arquivos RTF para divulgar o RAT BADNEWS (Ragnatela).
“Ironicamente, todas as informações que coletamos foram possíveis graças ao agente da ameaça se infectar com seu próprio RAT, resultando em pressionamentos de tecla capturados e capturas de tela de seu próprio computador e máquinas virtuais”. explicou Malwarebytes.
Como parte de um ataque recente, a Patchwork espalhou arquivos maliciosos se passando por autoridades paquistanesas. Os documentos foram enviados como anexos que pareciam legítimos e importantes. Em vez disso, os arquivos continham uma exploração que pode comprometer um computador e, em seguida, executar o RAT.
As seguintes organizações foram comprometidas com sucesso pelos esforços da Patchwork, de acordo com a Malwarebytes:
- Ministério da Defesa – Governo do Paquistão
- Universidade de Defesa Nacional do Islã Abad
- Faculdade de Biociências, Universidade UVAS, Lahore, Paquistão
- Centro Internacional de Ciências Químicas e Biológicas
- Instituto de Pesquisa de Química HEJ, Centro Internacional de Ciências Químicas e Biológicas, Universidade de Karachi
- Universidade SHU, Medicina Molecular
O Patchwork também se infectou com o RAT, que deu ao Malwarebytes acesso a muitas informações. Malwarebytes conseguiu ver que o Patchwork usa VirtualBox e VMWare para desenvolvimento. A empresa de segurança também determinou que a Patchwork usa VPN Secure e CyberGhost para mascarar seu endereço IP.
Comicamente, o Malwarebytes também foi capaz de determinar o clima local das máquinas da Patchwork. “Outras informações que podem ser obtidas é que o tempo na época estava nublado com 19 graus e que eles ainda não atualizaram seu Java.”
A Malwarebytes observa que o Patchwork não é tão sofisticado quanto invasores semelhantes na Rússia e na Coreia do Norte.