Los troyanos de acceso remoto (RAT) son herramientas que se pueden utilizar para controlar y administrar de manera remota algun sistema o dispositivo. Viendolo de esta forma podemos decir que no nos encontramos frente a un problema.
Sin embargo, los RAT utilizados de forma maliciosa si pueden representar un problema importante para la seguridad. Son troyanos que abren una puerta trasera en los equipos y pueden controlarlo lo que supone un alto nivel de riesgo en seguridad.
¿Como ataca un RAT?
Los RAT suelen estar escondidos en archivos que parecen legítimos. Aprovechan la oportunidad para llegar a un sistema y tomar el control total de este.
Normalemtente este tipo de amenaza llega junto a un software que descarga la vítctima. Por ejemplo, viene con algun programa que hemos bajado de internet, en algun juego o incluso en los mismos archivos que recibimos por correo electronico.
Esta amenaza pasa desapercibida, ya que es capaz de no dejar ningun tipo de rastro. Es decir, la victima puede estar infectada con este malware durante mucho tiempo y no llegar a saberlo. No se experimenta ningun tipo de cambio notable en el sistema, lo que lo hace muy peligroso.
Ahora que sabemos que es un RAT y como ataca, vamos a mostrar los 5 RAT mas peligrosos que se han detectado a lo largo de este 2022.
5. Stich
Una herramienta de administración remota Python multiplataforma:
Este es un marco de Python multiplataforma que le permite crear cargas útiles personalizadas para Windows, Mac OSX y Linux también. Puede seleccionar si la carga útil se vincula a una IP y un puerto específicos, escucha una conexión en un puerto, la opción de enviar un correo electrónico con la información del sistema cuando se inicia el sistema y la opción de iniciar el registrador de teclas en el arranque. Las cargas útiles creadas solo pueden ejecutarse en el sistema operativo en el que se crearon.
Caracteristicas
Autocompletado de comandos y archivos
Detección de antivirus
Capaz de apagar/encender monitores de pantalla
Ocultar/mostrar archivos y directorios
Ver/editar el archivo de hosts
Ver todas las variables de entorno de los sistemas
Keylogger con opciones para ver el estado, iniciar, detener y volcar los registros en su sistema host
Ver la ubicación y otra información de la máquina de destino
Ejecute scripts de python personalizados que devuelvan lo que imprima a la pantalla
capturas de pantalla
Detección de máquinas virtuales
Descargar/Cargar archivos hacia y desde el sistema de destino
Intento de volcar los hash de contraseña del sistema
Las propiedades de las cargas útiles están "disfrazadas" como otros programas conocidos
4. Ghost.
Ghost es una RAT ligera que otorga al servidor/atacante acceso remoto total al intérprete de línea de comandos del usuario (cmd.exe). Se les permite ejecutar comandos en silencio sin que el cliente/zombie se dé cuenta. El servidor/atacante también tiene la capacidad de descargar y ejecutar archivos en la computadora del cliente/zombie. Este es también un proceso silencioso y oculto. Como la mayoría de los troyanos de acceso remoto, esta capacidad de descarga y ejecución ayuda a distribuir virus y otras piezas de malware.
Este malware se distribuye simplemente ejecutando zombie.exe . Este nombre de archivo se puede cambiar a lo que sea. No hay restricción. Cuando se ejecuta, busca los dos primeros argumentos (IP y puerto). Si no se proporciona ninguno, el programa no se ejecuta. Dicho esto, asegúrese de proporcionar la IP y el puerto del servidor en los argumentos de la línea de comandos. Ejemplo:
Caracteristicas
Ejecución de comandos remotos
Proceso de fondo silencioso
Descargar y ejecutar archivo (Oculto)
Inicio en modo seguro
Se conectará automáticamente al servidor.
Los datos enviados y recibidos están encriptados (cifrado de sustitución)
Los archivos están ocultos
Antivirus instalado mostrado al servidor
Propaga malware fácilmente a través de la función de descarga
La información de inicio no se muestra en msconfig u otros programas de verificación de inicio como CCleaner
Deshabilitar el Administrador de tareas
3. Social_X
Esta es una herramienta que tiene una caracteristica diferente al resto. Tambien es una herramienta de Ingeniería Social. Probablemente hay muchos factores a analizar que contribuyen a la cantidad cada vez mayor de ataques de ingeniería social, pero el más importante se debe a su éxito en la historia. Esta herramienta ayuda a explotar eso aún más.
Es capaz de incrustarse en casi cualquier tipo de archivo, y en su mayoría es indetectable por los antivirus.
2. NullRAT
Otro proyecto que vale la pena mencionar es NullRAT, que es un tipo especial de RAT en el sentido de que se usa desde una plataforma de redes sociales llamada Discord. Es básicamente una aplicación de tipo servidor donde puedes chatear con tus amigos, solo que en este caso estás chateando con un bot.
Caracteristicas
Encontrar a todas las víctimas presentes en tiempo real [/listvictims]
Eliminar cualquier tarea en ejecución que no sea Admin [/kill_runningtasks]
Tomar fotos usando las de la víctima cámara web [/get_webcam]
Tomar captura de pantalla del monitor de la víctima [/get_screenshot]
Obtener información del sistema de la víctima [/get_systeminfo]
Obtener el historial de texto del portapapeles de la víctima [/get_clipboard]
Enviar archivos/payloads a la PC de la víctima [/sendfiles]
Recibir archivos de PC de la víctima [/receivefiles]
Ejecutar cualquier payload enviado rápidamente [/runfile]
Buscar cualquier variable de entorno [/get_environment]
Agregar ejecutable al inicio con un comando [/startup]
Descifrar los nuevos tokens de Discord cifrados y cargarlos [/discord_tokens]
Verificar los tokens de Discord descifrados y cargar toda la información del usuario [/discord_checked]
Cargar directamente los tokens de Discord desde más de 10 rutas de aplicaciones [/raw_tokens]
Encontrar WI-FI SSID [/wifilist] y contraseñas [/wifipass] en la PC de la víctima
Ocultar archivos [/hidefile] o mostrar archivos [/unhidefile] en la PC de la víctima
Desactivar el RAT elegantemente usando los comandos modernos [/shutdown]
Ejecutar comandos CMD y comandos de Powershell [/cmd] [/powershell]
1. The Fat Rat
TheFatRat es una herramienta de explotación que compila un malware con una carga útil famosa, y luego el malware compilado se puede ejecutar en Linux, Windows, Mac y Android. TheFatRat proporciona una manera fácil de crear puertas traseras y cargas útiles que pueden pasar por alto la mayoría de los antivirus.
Caracteristicas
Automatización completa de MSFvenom y Metasploit.
Generación de escucha local o remota.
Cree fácilmente Backdoor por categoría Sistema operativo.
Genera payloads en varios formatos.
Omita las puertas traseras antivirus.
Bomba de archivo que puede utilizar para aumentar el tamaño de sus archivos.
La capacidad de detectar direcciones IP e interfaces externas.
Crea automáticamente archivos AutoRun para la explotación de USB / CDROM
La Última Línea
Es importante que estemos siempre alertas para poder evitar ser infectados por este tipo de malware que puede llegar a ocasionarnos un problema serio. Es por ello que se deben de adoptar medidas de seguridad como las siguientes:
Mantener el Software Actualizado
Evitar descargar material pirateado en sitios web en peligro
Analizar los archivos adjuntos en los correos
Contraseñas Fuertes y activar autenitcación de dos pasos.
Comments