top of page
Foto del escritorGabriel Garza
17 nov 20225 Min. de lectura

¿Qué es el Malware RAT y por que estan peligroso?



Los troyanos de acceso remoto (RAT) son herramientas que se pueden utilizar para controlar y administrar de manera remota algun sistema o dispositivo. Viendolo de esta forma podemos decir que no nos encontramos frente a un problema.


Sin embargo, los RAT utilizados de forma maliciosa si pueden representar un problema importante para la seguridad. Son troyanos que abren una puerta trasera en los equipos y pueden controlarlo lo que supone un alto nivel de riesgo en seguridad.


¿Como ataca un RAT?

Los RAT suelen estar escondidos en archivos que parecen legítimos. Aprovechan la oportunidad para llegar a un sistema y tomar el control total de este.


Normalemtente este tipo de amenaza llega junto a un software que descarga la vítctima. Por ejemplo, viene con algun programa que hemos bajado de internet, en algun juego o incluso en los mismos archivos que recibimos por correo electronico.


Esta amenaza pasa desapercibida, ya que es capaz de no dejar ningun tipo de rastro. Es decir, la victima puede estar infectada con este malware durante mucho tiempo y no llegar a saberlo. No se experimenta ningun tipo de cambio notable en el sistema, lo que lo hace muy peligroso.


Ahora que sabemos que es un RAT y como ataca, vamos a mostrar los 5 RAT mas peligrosos que se han detectado a lo largo de este 2022.


5. Stich

Una herramienta de administración remota Python multiplataforma:


Este es un marco de Python multiplataforma que le permite crear cargas útiles personalizadas para Windows, Mac OSX y Linux también. Puede seleccionar si la carga útil se vincula a una IP y un puerto específicos, escucha una conexión en un puerto, la opción de enviar un correo electrónico con la información del sistema cuando se inicia el sistema y la opción de iniciar el registrador de teclas en el arranque. Las cargas útiles creadas solo pueden ejecutarse en el sistema operativo en el que se crearon.


Caracteristicas

  • Autocompletado de comandos y archivos

  • Detección de antivirus

  • Capaz de apagar/encender monitores de pantalla

  • Ocultar/mostrar archivos y directorios

  • Ver/editar el archivo de hosts

  • Ver todas las variables de entorno de los sistemas

  • Keylogger con opciones para ver el estado, iniciar, detener y volcar los registros en su sistema host

  • Ver la ubicación y otra información de la máquina de destino

  • Ejecute scripts de python personalizados que devuelvan lo que imprima a la pantalla

  • capturas de pantalla

  • Detección de máquinas virtuales

  • Descargar/Cargar archivos hacia y desde el sistema de destino

  • Intento de volcar los hash de contraseña del sistema

  • Las propiedades de las cargas útiles están "disfrazadas" como otros programas conocidos

4. Ghost.

Ghost es una RAT ligera que otorga al servidor/atacante acceso remoto total al intérprete de línea de comandos del usuario (cmd.exe). Se les permite ejecutar comandos en silencio sin que el cliente/zombie se dé cuenta. El servidor/atacante también tiene la capacidad de descargar y ejecutar archivos en la computadora del cliente/zombie. Este es también un proceso silencioso y oculto. Como la mayoría de los troyanos de acceso remoto, esta capacidad de descarga y ejecución ayuda a distribuir virus y otras piezas de malware.


Este malware se distribuye simplemente ejecutando zombie.exe . Este nombre de archivo se puede cambiar a lo que sea. No hay restricción. Cuando se ejecuta, busca los dos primeros argumentos (IP y puerto). Si no se proporciona ninguno, el programa no se ejecuta. Dicho esto, asegúrese de proporcionar la IP y el puerto del servidor en los argumentos de la línea de comandos. Ejemplo:


Caracteristicas

  • Ejecución de comandos remotos

  • Proceso de fondo silencioso

  • Descargar y ejecutar archivo (Oculto)

  • Inicio en modo seguro

  • Se conectará automáticamente al servidor.

  • Los datos enviados y recibidos están encriptados (cifrado de sustitución)

  • Los archivos están ocultos

  • Antivirus instalado mostrado al servidor

  • Propaga malware fácilmente a través de la función de descarga

  • La información de inicio no se muestra en msconfig u otros programas de verificación de inicio como CCleaner

  • Deshabilitar el Administrador de tareas

3. Social_X

Esta es una herramienta que tiene una caracteristica diferente al resto. Tambien es una herramienta de Ingeniería Social. Probablemente hay muchos factores a analizar que contribuyen a la cantidad cada vez mayor de ataques de ingeniería social, pero el más importante se debe a su éxito en la historia. Esta herramienta ayuda a explotar eso aún más.


Es capaz de incrustarse en casi cualquier tipo de archivo, y en su mayoría es indetectable por los antivirus.


2. NullRAT

Otro proyecto que vale la pena mencionar es NullRAT, que es un tipo especial de RAT en el sentido de que se usa desde una plataforma de redes sociales llamada Discord. Es básicamente una aplicación de tipo servidor donde puedes chatear con tus amigos, solo que en este caso estás chateando con un bot.


Caracteristicas

  • Encontrar a todas las víctimas presentes en tiempo real [/listvictims]

  • Eliminar cualquier tarea en ejecución que no sea Admin [/kill_runningtasks]

  • Tomar fotos usando las de la víctima cámara web [/get_webcam]

  • Tomar captura de pantalla del monitor de la víctima [/get_screenshot]

  • Obtener información del sistema de la víctima [/get_systeminfo]

  • Obtener el historial de texto del portapapeles de la víctima [/get_clipboard]

  • Enviar archivos/payloads a la PC de la víctima [/sendfiles]

  • Recibir archivos de PC de la víctima [/receivefiles]

  • Ejecutar cualquier payload enviado rápidamente [/runfile]

  • Buscar cualquier variable de entorno [/get_environment]

  • Agregar ejecutable al inicio con un comando [/startup]

  • Descifrar los nuevos tokens de Discord cifrados y cargarlos [/discord_tokens]

  • Verificar los tokens de Discord descifrados y cargar toda la información del usuario [/discord_checked]

  • Cargar directamente los tokens de Discord desde más de 10 rutas de aplicaciones [/raw_tokens]

  • Encontrar WI-FI SSID [/wifilist] y contraseñas [/wifipass] en la PC de la víctima

  • Ocultar archivos [/hidefile] o mostrar archivos [/unhidefile] en la PC de la víctima

  • Desactivar el RAT elegantemente usando los comandos modernos [/shutdown]

  • Ejecutar comandos CMD y comandos de Powershell [/cmd] [/powershell]

1. The Fat Rat

TheFatRat es una herramienta de explotación que compila un malware con una carga útil famosa, y luego el malware compilado se puede ejecutar en Linux, Windows, Mac y Android. TheFatRat proporciona una manera fácil de crear puertas traseras y cargas útiles que pueden pasar por alto la mayoría de los antivirus.


Caracteristicas

  • Automatización completa de MSFvenom y Metasploit.

  • Generación de escucha local o remota.

  • Cree fácilmente Backdoor por categoría Sistema operativo.

  • Genera payloads en varios formatos.

  • Omita las puertas traseras antivirus.

  • Bomba de archivo que puede utilizar para aumentar el tamaño de sus archivos.

  • La capacidad de detectar direcciones IP e interfaces externas.

  • Crea automáticamente archivos AutoRun para la explotación de USB / CDROM

La Última Línea

Es importante que estemos siempre alertas para poder evitar ser infectados por este tipo de malware que puede llegar a ocasionarnos un problema serio. Es por ello que se deben de adoptar medidas de seguridad como las siguientes:


  • Mantener el Software Actualizado

  • Evitar descargar material pirateado en sitios web en peligro

  • Analizar los archivos adjuntos en los correos

  • Contraseñas Fuertes y activar autenitcación de dos pasos.



18 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Comments

bottom of page