.webp)
RAT: ¿Qué es y cómo funciona?
Con los avances tecnológicos disponibles en la actualidad, es común que muchos dispositivos enfrenten diversas amenazas. Una de las amenazas más frecuentes proviene de un tipo de malware conocido como “troyano”. La característica clave de este malware es su capacidad de ocultarse dentro de otra aplicación o disfrazarse como una, evadiendo la detección por los programas antivirus. Cuando se ejecuta, puede liberar la carga útil del virus sin levantar sospechas de la víctima. Existen numerosos tipos de troyanos, categorizados en función de sus objetivos. Un tipo ampliamente utilizado es el “troyano de acceso remoto” (RAT), que permite a los atacantes obtener acceso remoto a la máquina de la víctima.
Debido a la naturaleza de este malware, utiliza el protocolo RDP, lo que permite al atacante tener acceso completo a la máquina, incluida la manipulación del teclado y el cursor. No obstante, esto no implica acceso a toda la información de la víctima, ya que solo obtiene acceso a la máquina y no a la información cifrada en el dispositivo. Es por eso que las RATs a menudo se instalan junto con otro malware, como los “keyloggers”. Un keylogger es un malware que se ejecuta en segundo plano que mantiene un registro de todo lo que el usuario tecla e interactúa en la máquina. De esta manera, el atacante puede potencialmente obtener un registro de las cuentas de usuario y contraseñas de la víctima.
El proceso de infección de este malware se basa en la ingeniería social para persuadir a la víctima de que instale una aplicación específica que contenga la RAT. Otra alternativa consiste en utilizar métodos de phishing y disfrazar el malware para que pueda ser ejecutado. Otra opción es descargar una aplicación de un sitio sospechoso, lo que aumenta la probabilidad de que el virus se instale en la máquina. Un punto importante a tener en cuenta es que las RAT se pueden ocultar dentro de las macros de archivos Word, Excel y PowerPoint, que se encuentran entre los principales métodos de camuflaje empleados por este troyano.
El 23 de diciembre de 2015, la mitad del territorio de Ivano-Frankivsk sufrió un ciberataque donde se cortó la electricidad durante varias horas. Según datos telemétricos de ESET, se dio cuenta que no se trataba de un incidente aislado sino de un ataque coordinado, ya que otras centrales eléctricas en Ucrania sufrieron un incidente similar casi simultáneamente. A través de la investigación, se encontró que el malware utilizado se llama “BlackEnergy”, que es una RAT con una función backdoor utilizada para instalar KillDisk, evitando que los dispositivos se inicien.
El RAT “BlackEnergy” fue presentado en la conferencia Virus Bulletin 2014, donde fue retratado como una herramienta de ciberespionaje. También se reveló que este malware podría insertarse junto a la vulnerabilidad “CVE-2014-4114”, que afectó a PowerPoint. Debido a ello, en 2014 se llevaron a cabo numerosos ataques con el objetivo de infectar dispositivos utilizando el malware y la vulnerabilidad de PowerPoint. Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), en 2015 se identificó una conexión entre el malware y “KillDisk”. No obstante, muchas empresas fueron víctimas de estos ataques antes de que las centrales eléctricas se convirtieran en el objetivo principal. A continuación se muestra una imagen del archivo infectado utilizado:
Otro RAT conocido se llama “NanoCore”, utilizado principalmente para espionaje y robo de información. Este malware ha estado activo desde 2013, y según la Agencia de Seguridad de la Infraestructura y Ciberseguridad de los Estados Unidos (CISA), en 2021, fue el malware más utilizado en todo el ciberespacio. Por lo general, se distribuía a través de ataques de phishing, donde las víctimas recibían correos electrónicos con archivos adjuntos, solicitando su ayuda para revisarlos. Estos archivos adjuntos aparentemente inofensivos, sin embargo, enviaron información al atacante, quien compiló una base de datos subastada posteriormente en foros clandestinos e ilegales. NanoCore sigue siendo uno de los tipos de malware más frecuentes en la actualidad. A continuación se presentan algunos ejemplos de los correos electrónicos identificados asociados con este malware:
Según se observa a través de estos casos, nadie está exento de convertirse en víctima de ciberataques. No obstante, existen métodos de prevención, que incluyen practicar buenos hábitos de ciberseguridad, evitar abrir correos electrónicos o mensajes sospechosos, y mantener todas las aplicaciones y servicios actualizados, entre muchos otros. No obstante, esto no es una garantía de que no podamos ser víctimas de un ataque, por lo que es fundamental estar al tanto de los peligros en internet y actuar responsablemente ante este tipo de situaciones.
Referencia:
[1] El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania. (2016, 5 de enero). https://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-energia-electrica-ucrania/
[2] NanoCore: un malware del tipo RAT muy utilizado para espiar a las víctimas. (2022, 17 de noviembre). https://www.welivesecurity.com/la-es/2022/11/17/nanocore-malware-principales-caracteristicas/
[3] ¿Qué es un troyano de acceso remoto (RAT)? Cómo detectarlos y mucho más | Proofpoint ES. (2023, 29 de diciembre). Punto de prueba. https://www.proofpoint.com/es/threat-reference/remote-access-trojan
