Troyanos de acceso remoto (RAT): Malware sofisticado y difícil de detectar
Tabla de contenidos
Los troyanos de acceso remoto son una amenaza para empresas, ciudadanos y organizaciones de sectores críticos como el sanitario
VenomRAT, MysterySnail RAT, NodeSnake RAT, ResolverRAT, StilachiRAT… El listado de troyanos de acceso remoto o RAT (Remote Access Trojan) que se han detectado en los últimos tiempos es muy extenso.
Aunque los troyanos bancarios han capturado la atención de los medios y la opinión pública, porque permiten a los delincuentes tomar el control de las cuentas bancarias de sus víctimas y realizar pagos fraudulentos, los troyanos de acceso remoto no solo se emplean con ese cometido.
De hecho, en los últimos tiempos han proliferado los troyanos de acceso remoto focalizados en el sector de la salud y en el farmacéutico, con el objetivo de acceder a información médica de los pacientes o robar propiedad intelectual e industrial de gran valor.
Mientras que las ganancias obtenidas gracias a ataques de ransomware están experimentando una caída, como consecuencia de que las empresas se han fortificado frente a esta clase de malware y cada vez menos compañías están dispuestas a pagar rescates, el uso de infostealers o troyanos de acceso remoto va en aumento.
¿Por qué? Permiten a los actores maliciosos persistir durante un largo periodo de tiempo en las organizaciones atacadas sin ser descubiertos y, así, hacerse con un caudal de información extraordinariamente valioso: información financiera, documentos estratégicos, datos de clientes, secretos empresariales, etc.
1. Cómo funcionan los troyanos de acceso remoto y por qué son tan peligrosos
Comencemos por el inicio, ¿qué son los troyanos de acceso remoto o RAT? Son un tipo de malware que se esconde en software en apariencia legítimo, aplicaciones móviles o en archivos ejecutables que las víctimas descargan en sus dispositivos sin ser conscientes de que están abriendo la puerta a un programa malicioso.
Igualmente, en los últimos meses se ha detectado el uso de la técnica ClickFix para lograr que las víctimas copien y ejecuten el código malicioso. Así se distribuyó, por ejemplo, AsyncRAT.
Por otro lado, debemos tener en cuenta que, como sucede con otros tipos de malware, los troyanos de acceso remoto también pueden llegar a los dispositivos de las víctimas gracias a la explotación de vulnerabilidades 0-day o que no fueron subsanadas.
Una vez en los equipos de las víctimas, los troyanos de acceso remoto son capaces, como su propio nombre indica, de facilitar el acceso remoto de los actores maliciosos a los dispositivos infectados.
De esta forma, los atacantes pueden llevar a cabo acciones de espionaje: realizar capturas de pantalla o monitorizarla en tiempo real, recopilar credenciales almacenadas en los navegadores, poner en marcha aplicaciones, obtener permisos adicionales, tener acceso a conversaciones en aplicaciones como WhatsApp e, incluso, descargar otras aplicaciones maliciosas.
Los troyanos de acceso remoto más sofisticados son especialmente peligrosos porque no solo son capaces de conectarse al servidor de comando y control de los actores maliciosos, sino que están diseñados para evadir los mecanismos de detección y lograr que los actores maliciosos persistan en los dispositivos infectados.
¿Cómo? Por ejemplo, facilitando el borrado de logs, abriendo la puerta a la manipulación del sistema operativo del dispositivo o conectándose al servidor de comando y control en intervalos aleatorios y sin emplear un patrón detectable por soluciones automatizadas.
2. La información bancaria, un oscuro objeto de deseo de los actores que usan troyanos de acceso remoto
El uso de troyanos bancarios no ha cesado en los últimos años. ¿Por qué? Las entidades financieras perfeccionan continuamente sus mecanismos de seguridad.
A nadie le debería sorprender, a estas alturas, que los bancos son las organizaciones más fortificadas a nivel de ciberseguridad, que lideran la innovación en el sector y que están obligadas a cumplir con un marco normativo cada vez más exigente y que pone el foco en su ciberresiliencia frente a los ataques.
Por eso, los actores maliciosos han puesto el foco en los clientes de las entidades financieras: empresas y ciudadanos.
En este sentido, los troyanos bancarios sirven a los atacantes para infectar móviles personales y corporativos y, así, lograr interceptar credenciales de acceso a cuentas online o, incluso, tomar el control de los dispositivos y realizar transacciones fraudulentas.
Por ejemplo, hace unas semanas se hizo público el uso de Klopatra, un troyano capaz de sobreponer pantallas de inicio falsas en aplicaciones financieras y de wallets de criptomonedas, para robar las credenciales de acceso y enviarlas al servidor de comando y control. Pero, además, Klopatra es capaz de reducir la iluminación de la pantalla hasta que parezca que el móvil está inactivo, lanzar una aplicación bancaria y realizar pagos fraudulentos sin que la víctima se dé cuenta.
Este caso evidencia cómo actores maliciosos con elevados conocimientos y recursos son capaces de diseñar troyanos de acceso remoto cada vez más complejos técnicamente, que están preparados para pasar desapercibidos y persistir hasta que los actores maliciosos consigan sus objetivos.
En la misma línea, podemos apuntar otro ejemplo reciente: Sturnus. Este RAT permite a los atacantes acceder a las comunicaciones de sus víctimas en aplicaciones como WhatsApp o Telegram, así como realizar transferencias bancarias desde las aplicaciones, llevar a cabo procesos de autenticación multifactor o confirmar las solicitudes de validación de pagos. Todo ello, mientras en el móvil infectado se ve una pantalla falsa que informa de que está llevándose a cabo una actualización del sistema de Android.
3. Muchos troyanos de acceso remoto tienen a las criptomonedas en su punto de mira
Klopatra también nos sirve para apuntar el hecho de que los troyanos de acceso remoto focalizados en el ámbito financiero no solo están siendo diseñados para robar dinero, sino también para sustraer criptomonedas.
Todos somos conscientes del auge que han experimentado las criptomonedas en la última década. Hoy en día, millones de personas invierten en estos activos digitales y tienen instaladas en sus dispositivos móviles las aplicaciones de las wallets y los exchanges que emplean.
Los ciberdelincuentes son conscientes de ello y conseguir acceder a las wallets de criptomonedas para drenarlas es un objetivo cada vez más habitual de los grupos delictivos que desarrollan troyanos de acceso remoto.
Da buena muestra de ello uno de los troyanos más célebres del último año, StilachiRAT. En este caso, no estamos ante un malware para móviles, sino para ordenadores.
Este programa malicioso es capaz de escanear los datos de configuración de las extensiones de 20 wallets para Google Chrome en ordenadores Windows, así como extraer y desencriptar credenciales almacenadas en el navegador o en el portapapeles. Todo ello, con el máximo sigilo, usando tácticas anti-forensic, eliminando logs e implementando comportamientos de evasión de sandbox para que el malware no sea detectado por el sistema de seguridad.
Estos ejemplos demuestran que, efectivamente, los troyanos de acceso remoto o RAT son cada vez más peligrosos porque su capacidad para suministrar información a los actores maliciosos y permitirles tomar el control de los dispositivos es mayor. Y, además, los grupos delictivos que los desarrollan están centrando sus esfuerzos en lograr que el malware no sea detectado y en subvertir los mecanismos de seguridad para garantizar su persistencia.
4. El sector de la salud, un nuevo objetivo de los grupos que emplean troyanos de acceso remoto
¿Los troyanos de acceso remoto solo se usan en el terreno de las finanzas? Por supuesto que no.
De hecho, los investigadores en ciberseguridad han detectado que los grupos delictivos están empleando troyanos de acceso remoto muy sofisticados contra organizaciones del ámbito sanitario y contra compañías farmacéuticas. Una buena muestra de ello es el malware ResolverRAT.
Este troyano es capaz de exfiltrar datos de los ordenadores infectados e, incluso, fragmentar los archivos de gran tamaño para mezclar el tráfico malicioso con el tráfico normal de los equipos.
De tal forma que permite acceder a información tan crítica como el historial clínico de los pacientes o los resultados de las pruebas que les hayan realizado. Además, es importante tener en cuenta que tanto los centros sanitarios como, sobre todo, las farmacéuticas almacenan documentación crítica sobre patentes, que tienen un valor económico millonario.
5. Las compañías y las personas de interés también son targets de los troyanos de acceso remoto
Como ya señalamos antes, los ataques de ransomware están experimentando un retroceso, lo que ha llevado a algunos grupos delictivos especializados en ransomware a modificar sus estrategias de ataque.
Por ejemplo, Interlock, uno de los grupos de ransomware más célebres de los últimos años, ha virado su estrategia para usar troyanos de acceso remoto contra compañías de múltiples sectores. ¿Con qué objetivo? Poner en marcha campañas de espionaje de larga duración.
Así, el troyano NodeSnake RAT, empleado por Interlock, es capaz de cifrar las comunicaciones que establece con el servidor de comando y control, registrar las teclas pulsadas por las víctimas, recopilar credenciales de acceso a software corporativo y ser capaz de evadir las herramientas de detección automatizadas usadas por las empresas.
Además, Interlock emplea NodeSnake RAT de forma combinada con un ransomware. De tal forma que tras desplegar un ransomware, el grupo delictivo es capaz de reestablecer su acceso a la empresa atacada mediante implantes RAT inactivos. Lo que le permite seguir teniendo acceso a sus sistemas y redes.
Por otro lado, y como consecuencia de su propia naturaleza, los troyanos de acceso remoto son un malware idóneo para espiar a personas de interés como líderes políticos, empresarios o directivos. Un ejemplo de ello es MysterySnail RAT, un troyano empleado desde 2021 y que, este mismo año, usó un grupo de amenazas persistentes avanzadas (APT) chino en una nueva versión para infiltrarse en el gobierno de Rusia.
6. Cómo pueden las compañías luchar contra los troyanos de acceso remoto
No existe una receta mágica para prevenir las infecciones de troyanos de acceso remoto o para conseguir detectarlos cuanto antes. Sin embargo, algunos servicios de ciberseguridad son críticos a la hora de articular una estrategia frente a ellos:
- Test de ingeniería social. El origen de la mayoría de ataques con troyanos de acceso remoto se encuentra en una técnica de ingeniería social. Por eso, es fundamental que las empresas formen a sus profesionales y analicen a través de ataques simulados cuál es su capacidad de hacer frente a las técnicas de ingeniería social más novedosas.
- Gestión de vulnerabilidades. Los grupos delictivos detrás de los troyanos de acceso remoto también aprovechan vulnerabilidades presentes en los sistemas corporativos para infectarlos, realizar movimientos laterales y persistir. La gestión de vulnerabilidades es un aspecto crítico de cualquier estrategia de ciberseguridad.
- Auditorías de seguridad continuas. Muchos troyanos de acceso remoto son capaces de pasar desapercibidos para las herramientas de análisis automatizadas. Sin embargo, las auditorías de seguridad combinan el uso de estas soluciones con el análisis de expertos en ciberseguridad que son capaces de detectar actividad maliciosa en los sistemas corporativos a partir de los datos obtenidos gracias a las herramientas automatizadas.
- Threat Hunting. Detrás de muchos troyanos de acceso remoto hay grupos APT que llevan a cabo una constante evolución de sus técnicas, tácticas y procedimientos. De ahí que los servicios de Threat Hunting sean críticos en esta materia. Puesto que están especializados en detectar amenazas complejas en fases tempranas, investigándolas de forma proactiva. Los Threat Hunters trabajan con hipótesis de compromiso que les permiten anticiparse a los atacantes, respondiendo ante una operación maliciosa antes de que haya generado un evento de seguridad.
- Red Team. El conocimiento generado por el equipo de Threat Hunting se puede emplear para diseñar escenarios de Red Team 100% realistas focalizados en el uso de troyanos de acceso remoto. De esta forma, una compañía puede medir su capacidad de resistir a un ataque de este tipo, formar a los profesionales a cargo de su defensa y optimizar sus mecanismos de prevención, detección y respuesta, con las recomendaciones efectuadas por el Red Team.
En definitiva, los troyanos de acceso remoto o RAT son una amenaza de primer nivel no solo en el ámbito financiero, sino también para las organizaciones de sectores como la salud, compañías de gran tamaño o que forman parte de sectores críticos, y personas que ejercen cargos públicos de gran relevancia o puestos directivos en empresas.
Habida cuenta de que los troyanos de acceso remoto son cada vez más difíciles de detectar y que los actores maliciosos desarrollan constantemente malware más avanzados, es crítico que las empresas inviertan en ciberseguridad y adapten sus estrategias para protegerse frente a las técnicas, tácticas y procedimientos más innovadores.