Análisis de malware

Foco de malware: ¿Qué es un troyano de acceso remoto (RAT)?

diciembre 3, por Imam Fakhar

Un troyano de acceso remoto (RAT) es un tipo de malware que permite vigilancia encubierta, una puerta trasera para control administrativo y acceso remoto sin restricciones y no autorizado a la máquina de la víctima. La RAT es muy peligrosa porque permite a los intrusos obtener el control remoto de la computadora comprometida. Los atacantes pueden utilizar las máquinas explotadas para realizar diversas actividades maliciosas, como instalar y eliminar programas, manipular archivos, secuestrar la cámara web, leer datos del teclado, recopilar credenciales de inicio de sesión y monitorear el portapapeles.

Los actores maliciosos también pueden utilizar su dirección de Internet como fachada para fines maliciosos. Por ejemplo, los virus descargados a través de una RAT tienen la capacidad de comprometer otras computadoras haciéndose pasar por usted.

En este artículo, exploraremos la diferencia entre RAT y keyloggers. También veremos los tipos de RAT y la forma en que se instala RAT en la computadora, así como el funcionamiento, la detección y la evitación de un RAT.

¿En qué se diferencian las RAT de los keyloggers?

Los RAT a menudo imitan a los registradores de teclas al permitir que los piratas informáticos recopilen automáticamente pulsaciones de teclas, credenciales de usuario, correos electrónicos, historial del navegador, capturas de pantalla y más. Sin embargo, los RAT se diferencian de los keyloggers en que brindan a los atacantes acceso remoto no autorizado a la computadora de la víctima a través de una configuración especial de protocolos de comunicación, que se configuran durante la infección inicial de la máquina infectada.

¿Cuáles son los tipos más comunes de RAT?

Orificio trasero

Desarrollado por el grupo de hackers Cult of the Dead Cow, Back Orifice es uno de los ejemplos más conocidos de RAT. Este malware está diseñado específicamente para descubrir deficiencias de seguridad de los sistemas operativos Windows.

Saefko

En octubre de, investigadores de Zscaler ThreatLabZ descubrieron una nueva pieza de malware RAT llamada Saefko. Puede recuperar el historial del navegador Chrome para obtener información sobre actividades relacionadas con criptomonedas.

CruzRAT

Si utiliza macOS, Windows, Solaris o Linux, es más propenso a sufrir CrossRAT, que es un tipo de RAT indetectable. Una vez que una víctima es víctima del ataque, su computadora es controlada remotamente por actores maliciosos que la hacen realizar funciones a su gusto, como tomar capturas de pantalla o robar datos personales.

Bestia

Beast es otro tipo de malware que ataca principalmente a los sistemas operativos Windows. Fue desarrollado en y todavía se utiliza en gran medida. Hasta hace poco atacaba una serie de sistemas operativos que iban desde Windows 95 hasta Windows 10.

Beast utiliza una arquitectura cliente-servidor similar a Back Orifice, donde una parte del servidor del sistema es el malware que se instala subrepticiamente en la máquina víctima.

sombras negras

Blackshades es una herramienta de piratería lista para usar que propaga RAT enviando enlaces a páginas web infectadas o contactos de redes sociales del usuario infectado. Tras una instalación exitosa, los piratas informáticos instalan funciones de botnet que hacen que la máquina de la víctima lance ataques de denegación de servicio (DoS). Además, la computadora infectada también puede actuar como un servidor proxy para enrutar el tráfico de piratas informáticos y ocultar otras actividades de piratería.

Espejismo

Mirage es el malware RAT clave lanzado por APT15 (o Advanced Persistent Threats 15), que es un grupo clandestino de ciberespionaje chino patrocinado por el estado. Mirage atacó al gobierno y al establecimiento militar del Reino Unido en, pero no se hizo público hasta.

APT15 se infiltra en usuarios específicos mediante el empleo de herramientas básicas, que luego se personalizan para realizar una filtración de datos personalizada una vez que la computadora se ha visto comprometida. Una versión nueva y mejorada de este malware es Mirage RAT, que se desarrolló en junio de.

¿Cómo se instala el RAT en mi computadora?

RAT suele ser similar a otros vectores de infección de malware. Los piratas informáticos utilizan varias técnicas para instalar un RAT en su computadora. Estas técnicas y métodos se enumeran a continuación:

• Se puede engañar a los usuarios para que descarguen paquetes maliciosos
• Los usuarios pueden verse inducidos a visitar enlaces web sospechosos
• Los archivos adjuntos de correo electrónico elaborados se envían a los usuarios objetivo.
• RAT se entrega utilizando archivos descargados a través de torrents

Los actores de amenazas pueden instalar RAT obteniendo acceso físico temporal o mediante ataques de ingeniería social.

¿Cómo funciona una RAT en mi computadora?

Después de una instalación exitosa, RAT establece una conectividad directa con el servidor de comando y control (CC), que es propiedad de los piratas informáticos, mediante el uso del puerto TCP abierto predefinido de la computadora comprometida. El servidor CC crea una comunicación remota en la máquina de la víctima. El RAT también tiene la capacidad de conectarse con uno o más servidores CC administrados por los intrusos.

Una vez establecida la conexión remota, los atacantes pueden hacer lo que quieran en la máquina de la víctima. Las actividades maliciosas incluyen capturar transmisiones de cámaras web, registrar pulsaciones de teclas y descargar o cargar archivos.

Hay varias RAT disponibles para establecer un canal CC interactivo con el fin de apuntar a sistemas dentro de las redes. Estas herramientas pueden incluir Go2Assist, LogMein, Team Viewer y AmmyyAdmin. Estas herramientas también se enumeran en la matriz ATTCK de MITRE.

MITRE es una organización sin fines de lucro dedicada a resolver problemas de ciberseguridad. Desde sus inicios en 1958, MITRE ha aportado soluciones innovadoras y prácticas para diferentes sectores.

Para lograr su objetivo de ciberseguridad, MITRE publicó la lista MITRE ATTCK. Esto proporciona una base de conocimientos globalmente accesible sobre las tácticas y técnicas de los adversarios, basada en observaciones del mundo real. MITRE ATTCK puede proporcionar una base para el desarrollo de metodologías y modelos de amenazas para el sector privado, el uso gubernamental y la comunidad de productos/servicios.

Puede encontrar información detallada sobre MITRE ATTCK aquí .

¿Cómo detecto RAT?

Detectar un troyano de acceso remoto es una tarea difícil porque, en la mayoría de los casos, no aparece en la lista de tareas o programas en ejecución en su computadora. Además, su sistema no se ralentizará. Sin embargo, su velocidad de Internet disminuirá a medida que RAT use su ancho de banda para funcionar. Una RAT puede infectar tu ordenador durante varios años si pasa desapercibida.

Para salir de la pesadilla de RAT, puede resultar útil utilizar herramientas de detección de malware y análisis antivirus.

¿Cómo se puede evitar una RAT?

Existen varias herramientas, técnicas y mejores prácticas que se pueden utilizar para evitar un ataque RAT. A continuación se muestra una lista detallada de ellos:

• No descargue archivos de fuentes que no sean de confianza, como sitios de pornografía o software gratuito.
• Evite siempre abrir archivos adjuntos de correos electrónicos de extraños o personas que no conoce
• No descargues juegos a través de sitios web maliciosos
• Instale software antivirus y manténgalo parcheado y actualizado
• Mantenga siempre actualizado su sistema operativo, navegadores web y aplicaciones y aplique parches a todos ellos.
• También debes evitar descargar archivos torrent si provienen de fuentes no confiables.
• Bloquee siempre los ordenadores públicos cuando no estén en uso y tenga cuidado con las llamadas telefónicas o los correos electrónicos pidiéndole que instale una aplicación.
• A veces es difícil evitar una RAT porque los atacantes utilizan una carpeta para vincular una RAT con programas ejecutables legítimos, lo que impide que el detector la encuentre. Aunque las RAT no aparecen en los procesos en ejecución, es una buena práctica utilizar un administrador de tareas para buscar procesos desconocidos o desconocidos. Si hay archivos extraños ejecutándose en su administrador de tareas, elimínelos rápidamente. Si no encuentra ningún proceso extraño, búsquelo en Google para obtener la respuesta.
• A veces, se agrega una RAT a los directorios de inicio de Windows y a las entradas del registro para que pueda iniciar la ejecución automática cada vez que enciende su sistema. La buena noticia es que puedes evitar manualmente esta ejecución automática siguiendo este sencillo procedimiento:
• Presione la tecla Windows + la tecla R juntas
• Escriba el comando msconfig.exe en el cuadro de ejecución
• Presione Aceptar y aparecerá la ventana Configuración del sistema.
• Haga clic en la pestaña Inicio y luego abra el Administrador de tareas. Compruebe si hay un elemento de inicio malicioso
• Si hay algún programa sospechoso, puedes tomar una decisión después de comprobar su legitimidad mediante una búsqueda en Internet.
• Otra buena idea para eliminar aplicaciones sospechosas de su computadora es utilizar la opción «Agregar o quitar programas» ubicada en su panel de control. Si nota algún programa extraño en su computadora, simplemente desinstálelo
• Dado que una RAT utiliza el ancho de banda de su conexión a Internet, en última instancia ralentizará su velocidad de Internet. Por lo tanto, una mala velocidad de Internet puede ser un indicio de malware RAT. Si este es el caso, desconecte rápidamente su Internet. Hacerlo evitará que los atacantes tomen el control de su PC, porque RAT sólo funciona cuando la conexión a Internet está activa. Después de desconectarse de Internet, debe utilizar un programa de malware como Spy Hunter o Malwarebytes para exterminar una RAT.
• Si es una empresa, inicie un programa de concientización y capacitación en seguridad para educar a sus empleados sobre las RAT y otro malware. Este programa debe incluir todas las mejores prácticas necesarias para mantenerse seguro.

Conclusión

El malware RAT funciona de forma clandestina. Los piratas informáticos utilizan el servidor CC para establecer conectividad y obtener control administrativo remoto sobre la computadora de la víctima. Las RAT pueden ser muy peligrosas si pasan desapercibidas. Sin embargo, aplicar controles de seguridad y mejores prácticas adecuados puede evitar que los piratas informáticos comprometan su computadora.

Fuentes

• Troyano de acceso remoto (RAT) , Kaspersky
• RAT (troyano de acceso remoto) , TechTarget
• Los investigadores descubren una nueva pieza de malware RAT dirigida a usuarios de criptomonedas , The Next Web
• Los 5 virus más destructivos de y que siguen vigentes hoy , Symantec
• APT15 asoma la cabeza con MirageFox RAT actualizado , publicación de amenaza
• Troyano de acceso remoto (RAT) , Malwarebytes
• ¿QUÉ ES EL TROJANO DE ACCESO REMOTO? Terminal de piratas informáticos
• Las 10 mejores herramientas de detección de software RAT, además de una guía definitiva con ejemplos , Comparitech
• ¿Qué es el malware RAT y por qué es tan peligroso? Cómo hacer friki
• Troyano de acceso remoto (RAT): ¿cómo detectarlo y eliminarlo? , UUFIX
• Herramientas de acceso remoto , MITRE