Según explican los expertos de G Data SecurityLabs, ComRAT es un sofisticado spyware que roba información sensible en empresas y organizaciones públicas. Lo hace secuestrando la interfaz de programación COM (Component Object Model), que le permite capturar información interceptando el tráfico de datos del propio navegador, y por su condición de RAT, un programa malicioso que facilita a un atacante el control total y en remoto del sistema infectado.

La primera versión de ComRAT analizada por G DATA SecurityLabs mostraba también que los atacantes también comparten un dominio de comando y control. Sin embargo, un análisis de una versión posterior del malware permite comprobar que esta versión más moderna es claramente más compleja y muestra mecanismos diferentes.

Esto se debe posiblemente, siempre según G Data, a que se quieran borrar conexiones que tiene con Agent.BTZ e Uroburos.

Viejos conocidos

En febrero de 2014, G Data publicó un completo análisis del rootkit Uroburos, un sofisticado y complejo rootkit de origen ruso destinado a robar información sensible a organizaciones y gobiernos y que, entre otros, había afectado al Ministerio de Defensa belga. Su comportamiento, cifrado y otros detalles técnicos lo conectaban directamente con una amenaza anterior, el famoso Agent.BTZ, responsable en 2008 de la mayor brecha de seguridad informática sufrida por el Departamento de Defensa norteamericano.

Los análisis de la firma de seguridad alemana, que señala que sus soluciones detectan y bloquena esta amenaza,  concluyen que los autores de Agent.BTZ y Uroburos permanecen activos ya que el código malicioso tiene muchas similitudes. Sin embargo, han conseguido modificarlo y mejorarlo pues ComRAT es más complejo y, sin duda, mucho más costoso de desarrollar.