Trojan:Win32/Casdet!rfn es una detección que indica la posible presencia de malware en su sistema. Los usuarios pueden encontrar esta detección después de usar software pirateado o abrir archivos adjuntos de correo electrónico sospechosos.. En algunos casos, Casdet puede ser una detección falsa positiva.
Casdet es una amenaza grave que se utiliza principalmente para reconocimiento y entrega. otras cargas útiles al dispositivo. También recopila algunos datos sobre el sistema, pero se pueden modificar para diferentes tareas., como el robo directo de información.
Trojan:Win32/Casdet!Descripción general de rfn
Trojan:Win32/Casdet!rfn es una detección que Microsoft Defender utiliza principalmente para troyanos de acceso remoto (ratas). Tal malware, como su nombre lo indica, Proporciona acceso remoto y se utiliza a menudo para el reconocimiento y la entrega de otro malware.. Casdet no suele recopilar mucha información, pero la carga útil que lleva es la que hace más daño. Aparte de esto, Casdet tiene una estructura modular, lo que le permite conectar dinámicamente los módulos que necesita y actuar como un ladrón de información, por ejemplo.
Trojan:Win32/Casdet!rfn generalmente se propaga a través de correos electrónicos de phishing y software crackeado, difundir a través de redes p2p. Aunque rara vez puede resultar un falso positivo., marcar un archivo legítimo como malicioso. Algunos usuarios se han quejado del troyano.:Win32/Casdet!detección de rfn después de descargar e instalar un emulador de Android legítimo, libros electrónicos, o mods de juego. Echemos un vistazo detallado a cómo funciona este malware..
Análisis detallado
Primero, recordemos como a Remote Access Trojan (RAT) obras. En general, Las RAT recopilan datos confidenciales y pueden utilizarse para diversos fines, incluido espionaje y control remoto de dispositivos comprometidos. Sin embargo, casdet!rfn en general y la muestra que estaba revisando funciona principalmente como un descargador de malware. Analicemos sus acciones paso a paso.
Acceso inicial
La muestra del troyano Casdet elegido para esta prueba fue llegar al dispositivo de la víctima a través phishing emails. En algunos casos raros, Los piratas informáticos estaban eligiendo una víctima y Dirigir los correos electrónicos a esta persona específica.. Amenaza, o su cargador generalmente se esconde dentro del archivo adjunto. El cuerpo del mensaje al mismo tiempo motiva a la víctima a ejecutar el archivo adjunto., adormeciendo la vigilancia.
Ejecución, Evasión de detección & Toma de huellas dactilares
Trojan:Win32/Casdet!rfn emplea varias técnicas para evadir la detección por parte de los sistemas de seguridad. Estas técnicas incluyen obfuscation y comprueba si hay máquinas virtuales o depuradores.. Esto último se hace enumerando los procesos y verificando las claves de registro que pueden contener información sobre el medio ambiente.. Evasión de detección, por otro lado, se basa principalmente en el embalaje y la ofuscación; El único truco que utiliza el malware durante la ejecución es al ralentí durante varios minutos al inicio.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
Además, realiza el llamado geofencing a través de revisando los paquetes de idiomas instalado en el sistema. Esta es una táctica bastante común para diferentes familias de malware., mientras los desarrolladores intentan evitar atacar cualquier cosa de su propio país. Abajo, puedes ver las claves de registro específicas que escanea para esto.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack
HKCU\Software\Classes\Local Settings\MuiCache\130\52C64B7E\LanguageList
Cuando el malware se infiltra en un sistema, Su objetivo es establecer persistencia para asegurar su operación y control continuos.. Abusa de WerFault a través del comando que pegué a continuación para obtener persistencia y privilegios de ejecución adicionales.. Esto le permite mantener un punto de apoyo en el sistema incluso después de reiniciar o escaneos de seguridad.
C:\Windows\system32\WerFault.exe -u -p 3560 -s 216
Después de estas operaciones, Casdet recopila información básica sobre el sistema. La huella digital de este sistema sirve to identify it and is unique to each system. Si bien esta información no contiene datos valiosos o sensibles, es una huella del sistema que se envía al C2.
- versión del sistema operativo
- Nombre de usuario
- CPU y GPU
- dirección IP
- Tamaño de la pantalla
- Proveedor de dispositivos
- Software instalado
- Información de red
Comunicaciones C2
La forma en que el malware Casdet se comunica con el servidor de comando no es nada especial. Carga una selección de direcciones IP en su archivo binario, y lo decodifica cuando llega el momento. Entonces, forma la solicitud HTTP POST, lo cifra, y lo envía al servidor de comando.
- 20.99.133.109:443
- 20.99.186.246:443
- 23.216.147.64:443
- 192.229.211.108:80
- 20.99.185.48:443
- 104.80.88.11:443
- 23.216.147.76:443
- 20.99.184.37:443
C2 en respuesta enviará una pequeña masa de información que contiene más instrucciones por el malware. Entre ellos se encuentra cargar un archivo específico desde la máquina infectada., ejecutando el comando, o conectarse al servidor remoto para extraer la carga útil y ejecutarla. Toda la información complementaria viene en el mismo paquete de respuesta..
Carga útil
Respecto a las cargas útiles, aquí es donde troyano:Win32/Casdet!rfn brilla: puede implementar literalmente cualquier tipo de malware. Pero la mayoría de las veces, casdet entrega ransomware, software espía, goteros y cosas similares. Corre la función DllMain desde un archivo DLL en la carpeta temporal del usuario usando la utilidad rundll32.exe. La función DllMain se llama cuando la DLL se carga durante eventos del sistema como DLL_PROCESS_ATTACH y DLL_PROCESS_DETACH.
"C:\Windows\System32\rundll32.exe"
C:\Users\A4148~1.MON\AppData\Local\Temp\e8442b7f12ab7cb616c549181d39c10b.dll,DllMain
Al mismo tiempo, Casdet tiene una estructura modular, lo que le permite actuar de forma independiente cuando sea necesario. Este malware en particular era capaz de obtener funciones de robo de información o ampliar sus funciones de cuentagotas.. Además de lo que es capaz de hacer por defecto, hace una sola muestra de Casdet capaz de realizar un ciberataque en toda regla.
Cómo eliminar Trojan:Win32/Casdet!rfn?
Para eliminar troyano:Win32/Casdet!rfn, Recomiendo usando GridinSoft Anti-Malware. Este programa es resistente a la técnicas anti-detección este malware utiliza, gracias a su sistema de detección multicomponente. Ejecute un análisis completo, déjelo terminar y haga clic en "Limpiar ahora" para eliminar todos los elementos maliciosos. El programa también se encargará de la seguridad de su sistema en el futuro: pruébelo.