¿Qué es y cómo funciona un troyano de acceso remoto (RAT)?

Introducción

Un troyano de acceso remoto (RAT) es un tipo de malware que permite la vigilancia encubierta.

Es una puerta trasera para el control administrativo y el acceso remoto sin restricciones y sin autorización a la máquina de la víctima.

Un RAT es muy peligroso porque permite a los intrusos obtener el control remoto de la computadora comprometida.

Los atacantes pueden usar las máquinas explotadas para realizar diversas actividades maliciosas, como instalar y eliminar programas, manipular archivos, secuestrar la cámara web, leer datos del teclado, obtener credenciales de inicio de sesión y monitorear el portapapeles.

Los actores maliciosos también pueden usar tu dirección de Internet como un frente con fines maliciosos.

Por ejemplo, los virus descargados a través de un RAT tienen la capacidad de comprometer otras computadoras al hacerse pasar por ti.

En este artículo, exploraremos la diferencia entre RAT y keyloggers.

¿En qué se diferencian los RAT de los keyloggers?

Los RAT a menudo imitan a los keyloggers al permitir que los hackers recopilen automáticamente pulsaciones de teclas, credenciales de usuario, correos electrónicos, historial del navegador, capturas de pantalla y más.

Sin embargo, los RAT difieren de los keyloggers en que dan a los atacantes acceso remoto no autorizado a la computadora de la víctima.

Esto a través de una configuración especial de protocolos de comunicación, que se configuran durante la infección inicial de la máquina infectada.

¿Cuáles son los tipos más comunes de RAT?

Back Orifice

Desarrollado por el grupo de hackers Cult of the Dead Cow, Back Orifice es uno de los ejemplos más conocidos de RAT.

Este malware está diseñado específicamente para descubrir deficiencias de seguridad de los sistemas operativos Windows.

Saefko

En octubre de 2019, los investigadores de Zscaler ThreatLabZ descubrieron una nueva pieza de malware RAT llamada Saefko.

Puede recuperar el historial del navegador Chrome para obtener información sobre actividades relacionadas con criptomonedas.

CrossRAT

Si estás utilizando macOS, Windows, Solaris o Linux, eres más propenso a CrossRAT, que es un tipo de RAT indetectable.

Una vez que una víctima cae presa del ataque, la computadora es controlada de forma remota por actores maliciosos que hacen que realice funciones a su gusto, como tomar capturas de pantalla o robar datos personales.

Beast

Beast es otro tipo de malware que ataca principalmente a los sistemas operativos Windows. Fue desarrollado en 2002 y todavía está en uso en gran medida.

Hasta hace poco, atacó una serie de sistemas operativos que iban desde Windows 95 a Windows 10.

Beast utiliza una arquitectura cliente-servidor similar a Back Orifice, con una parte del servidor del sistema que es el malware que se instala secretamente en la máquina víctima.

Blackshades

Blackshades es una herramienta de hacking que propaga el RAT mediante el envío de enlaces a páginas web infectadas o contactos de redes sociales del usuario infectado.

Tras una instalación exitosa, los hackers instalan funciones de botnet que hacen que la máquina de la víctima inicie ataques de denegación de servicio (DoS).

Además, la computadora infectada también puede actuar como un servidor proxy para enrutar el tráfico de ciberdelincuentes y ocultar otras actividades de hacking.

Mirage

Mirage es el malware RAT lanzado por APT15 (o Advanced Persistent Threats 15), que es un grupo chino clandestino de ciberespionaje patrocinado por el estado.

El RAT Mirage atacó el establecimiento gubernamental y militar del Reino Unido en 2017, pero no se hizo público hasta 2018.

APT15 se infiltra en usuarios específicos mediante el uso de herramientas básicas, que luego se personalizan para realizar una filtración de datos a medida una vez que la computadora se ha visto comprometida.

Una versión nueva y mejorada de este malware es Mirage RAT, que se desarrolló en junio de 2018.

¿Cómo se instala un RAT en mi computadora?

Un RAT es a menudo similar a otros vectores de infección de malware.

Los hackers utilizan varias técnicas para instalar un RAT en tu computadora. Estas técnicas y métodos se enumeran a continuación:

  • Los usuarios pueden ser engañados para descargar paquetes maliciosos.
  • Un usuario puede ser atraído a visitar enlaces web sospechosos.
  • Los archivos adjuntos de correo electrónico diseñados se envían a los usuarios objetivo
  • Un RAT se envía utilizando archivos descargados a través de torrents

Los ciberdelincuentes pueden instalar RAT ya sea mediante el acceso físico temporal o mediante ataques de ingeniería social.

¿Cómo funciona un RAT en mi computadora?

Después de una instalación exitosa, el RAT establece una conectividad directa con el servidor de comando y control (C&C), que es propiedad de los ciberdelincuentes, mediante el uso del puerto TCP abierto predefinido de la computadora comprometida.

El servidor C&C crea una comunicación remota en la máquina de la víctima.

El RAT también tiene la capacidad de conectarse con uno o más servidores C&C ejecutados por intrusos.

Una vez que se establece la conexión remota, los atacantes pueden hacer lo que quieran en la máquina de la víctima.

Las actividades maliciosas incluyen la captura de registro de la cámara web, el registro de pulsaciones de teclas y la descarga o carga de archivos.

Hay varios RAT disponibles para establecer un canal interactivo de C&C para apuntar a sistemas dentro de las redes.

Estas herramientas pueden incluir Go2Assist, LogMein, Team Viewer y Ammyy Admin.

¿Cómo detecto un RAT?

La detección de un troyano de acceso remoto es una tarea difícil porque, en la mayoría de los casos, no aparecen en la lista de tareas o programas en ejecución en tu computadora.

Además, tu sistema no se ralentizará. Sin embargo, tu velocidad de Internet disminuirá a medida que el RAT use tu ancho de banda para trabajar.

Un RAT puede infectar tu computadora durante varios años si pasa desapercibido.

Para salir de la pesadilla de RAT, puede ser útil usar herramientas de detección de malware y análisis antivirus.

¿Cómo se puede evitar un RAT?

Hay una serie de herramientas, técnicas y mejores prácticas que se pueden utilizar para evitar un ataque RAT. A continuación, se muestra una lista detallada de ellos:

  • No descargues archivos de fuentes no confiables como sitios de pornografía o software gratuito.
  • Siempre evita abrir archivos adjuntos de correos electrónicos de extraños o personas que no conoces.
  • No descargues juegos a través de sitios web maliciosos.
  • Instala un software antivirus y mantenlo actualizado
  • Mantén siempre actualizados tu Sistema Operativo, navegadores web y aplicaciones, debes aplicar parches a todos ellos.
  • También debes evitar descargar archivos torrent si provienen de fuentes poco confiables
  • Siempre bloquea las computadoras públicas cuando no estén en uso, y ten cuidado con las llamadas telefónicas o correos electrónicos que te soliciten que instales una aplicación
  • A veces es difícil evitar un RAT porque los atacantes usan una carpeta para vincular un RAT con programas ejecutables legítimos, lo que impide que el detector la encuentre.

Aunque los RAT no aparecen en los procesos en ejecución, es una buena práctica utilizar un administrador de tareas para buscar procesos desconocidos o extraños.

Si hay archivos extraños ejecutándose en tu administrador de tareas, elimínalos rápidamente.

Si encuentras algún proceso extraño, búscalo en Google para obtener la respuesta
  • A veces, se agrega una RAT a los directorios de inicio de Windows y a las entradas del registro para que pueda iniciar la ejecución automática cada vez que enciendes tu sistema.

La buena noticia es que puedes evitar manualmente esta ejecución automática siguiendo este procedimiento simple:

  1. Presiona la tecla Windows + tecla R juntas.
  2. Escribe el comando msconfig.exe en el cuadro de ejecución.
  3. Presiona OK, y aparecerá la ventana de Configuración del sistema.
  4. Haz clic en la pestaña Inicio y luego abre el Administrador de tareas. Comprueba si hay un elemento de inicio malicioso
  5. Si hay algún programa sospechoso, puedes tomar una decisión después de verificar su legitimidad a través de una búsqueda en Internet.
  • Otra buena idea para eliminar aplicaciones sospechosas de tu computadora es usar la opción “Agregar o quitar programas” ubicada en tu panel de control. Si observas algún programa extraño en tu computadora, simplemente desinstálalo
  • Dado que un RAT utiliza el ancho de banda de tu conexión a Internet, en última instancia, reducirá la velocidad de Internet. Por lo tanto, la baja velocidad de Internet puede ser una indicación de malware RAT.

Si este es el caso, desconecta rápidamente tu internet. Hacerlo evitará que los atacantes tomen el control de tu PC, porque RAT solo funciona cuando la conexión a Internet está activa.

Después de desconectarse de Internet, debes usar un programa de malware como Spy Hunter o Malwarebytes para exterminar un RAT

  • Si eres una empresa, debes iniciar un programa de capacitación y concientización sobre seguridad para educar a tus empleados sobre los RAT y otro malware. Este programa debe incluir todas las mejores prácticas necesarias para mantenerse seguro

Conclusión

El malware RAT funciona clandestinamente.

Los hackers usan el servidor C&C para establecer la conectividad y obtener control administrativo remoto sobre la computadora de la víctima.

Los RAT pueden ser muy peligrosos si pasan desapercibidos. Sin embargo, la aplicación de los controles de seguridad adecuados y las mejores prácticas pueden evitar que los ciberdelincuentes comprometan tu computadora.