Iniciemos destacando que aproximadamente el 70% de malware existente se centra en los troyanos. El RAT (Remote Access Trojan) es uno de ellos.
https://securelist.com/securelist/files/2016/02/KL_AdwindPublicReport_2016.pdf
Imagen 1 - Versión 3.0 de Adwind RAT
Es transmitido a través de aplicaciones de juegos, freeware, imágenes o datos adjuntos de un correo, dentro de todos estos ejemplos, se oculta un archivo ejecutable que luego se instalará en la memoria del sistema, esto permite a cibercriminales tener acceso ilimitado a dispositivos y a información sensible.
Los troyanos del tipo RAT llevan siendo utilizados muchos años por los piratas informáticos, se ejecutan a nivel de memoria RAM, sin pasar por disco duro y de forma cifrada, convirtiéndose en malware incapaz de ser detectado por la mayoría de herramientas de seguridad. Incluso han alcanzado desarrollos con una serie de técnicas adicionales para, enviar información sobre el host donde se ejecuta, detectar herramientas de análisis de procesos, y también ser capaz de autoeliminarse en caso de ejecutarse sobre entornos virtuales de pruebas.
Ejemplos de ello son troyanos con fines de extraer información bancaria y de identificación personal, todos mediante operaciones manuales, manteniendo permisos de administrador y firmados con certificados debug lo cual les permite ocultar su identificación.
Al tomar control remoto del dispositivo, el atacante podría ejecutar cualquier función en su calidad de administrador y en cualquier momento; podría usar el micrófono, webcam (posibilidad de espiar conversaciones), realizar envío de spam (SMS en caso de móviles), lanzar ataques de denegación de servicio DOS, compartir información, etc.
Las versiones más comunes de RAT son. Sakula, KjW0rm, Havex (apunta al control de sistemas Industriales ICS), Agent.BTZ (más común y posiblemente desarrollado por el Gobierno Ruso para ICS), Dark Comet, Adwin (y todas sus versiones, definidas en su mayorías para atacar equipos MAC OS X), Heseber (para sistemas Virtualizados), 888.apk (este último específicamente para dispositivos móviles y tiene como objetivo principal robar información bancaria).
Con el fin de mitigar este tipo de malware, TELAVOG pone a disposición sus servicios con la finalidad de complementar su seguridad corporativa a través de una suite Mobile Security y Threat Intelligence que identifica este tipo de actividad y alerta a la organización; adicional a esto siempre es necesario que los usuarios finales tengan buenas prácticas al momento de navegar por la web o siempre que se requiera ejecutar programas, abrir links, etc; algunas de las recomendaciones que ponemos a su consideración son las siguientes:
Configurar su navegador web escogiendo el nivel de seguridad apropiado.
Verificar la URL de los links de páginas web, correo, documentos, etc antes de ingresar.
No descargar archivos desde sitios que no sean legítimos y de confianza.
Rechazar archivos que no haya solicitado cuando estos son enviados a través de chats o medios compartidos
Disminuir la cantidad de correo basura declarando como spam aquellos correos que no conoces su procedencia.
Configure el sistema para que pueda ver las extensiones de todos los archivos.
Mantener copias de seguridad de información sensible.
Instale un software en sus dispositivos que alerte sobre archivos malignos que sean evaluadas en tiempo real.
Evitar realizar operaciones bancarias o personales en computadores de uso público.
Si quieres conocer más sobre este tema o estas interesado en implementar/mejorar estas plataformas en tu organización, por favor déjanos un comentario o escríbenos a info@telavog.net.