código abierto

Un troyano de acceso remoto (RAT) «de diseño intrincado» llamado Xeno RAT está disponible en GitHub, lo que lo hace fácilmente accesible para otros actores sin costo adicional.

Escrito en C# y compatible con los sistemas operativos Windows 10 y Windows 11, el RAT de código abierto viene con un «conjunto completo de funciones para la gestión remota del sistema», según su desarrollador, que se conoce con el nombre de moom825.

Incluye un proxy inverso SOCKS5 y la capacidad de grabar audio en tiempo real, además de incorporar un módulo oculto de computación en red virtual ( hVNC ) similar a DarkVNC , que permite a los atacantes obtener acceso remoto a una computadora infectada.

«Xeno RAT se desarrolló completamente desde cero, lo que garantiza un enfoque único y personalizado para las herramientas de acceso remoto», afirma el desarrollador en la descripción del proyecto. Otro aspecto destacable es que cuenta con un constructor que permite la creación de variantes personalizadas del malware.

Vale la pena señalar que moom825 también es el desarrollador de otra RAT basada en C# llamada DiscordRAT 2.0 , que ha sido distribuida por actores de amenazas dentro de un paquete npm malicioso llamado node-hide-console-windows, como lo reveló ReversingLabs en octubre de 2023.

La empresa de ciberseguridad Cyfirma, en un informe publicado la semana pasada, dijo que observó que Xeno RAT se difundía a través de la red de entrega de contenido ( CDN ) de Discord, lo que subraya una vez más cómo un aumento de malware asequible y de libre acceso está impulsando un aumento en las campañas que utilizan RAT.

Troyano RAT

«El vector principal en forma de archivo de acceso directo, disfrazado de captura de pantalla de WhatsApp, actúa como un descargador», dijo la compañía . «El programa de descarga descarga el archivo ZIP de Discord CDN, lo extrae y ejecuta la carga útil de la siguiente etapa».

La secuencia de varias etapas aprovecha una técnica llamada carga lateral de DLL para iniciar una DLL maliciosa y, al mismo tiempo, toma medidas para establecer persistencia y evadir el análisis y la detección.

El desarrollo se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló el uso de una variante de Gh0st RAT llamada Nood RAT que se utiliza en ataques dirigidos a sistemas Linux, lo que permite a los adversarios recopilar información confidencial.

«Nood RAT es un malware de puerta trasera que puede recibir comandos del servidor C&C para realizar actividades maliciosas como descargar archivos maliciosos, robar archivos internos del sistema y ejecutar comandos», dijo ASEC .

«Aunque su forma es simple, está equipada con la función de cifrado para evitar la detección de paquetes de red y puede recibir comandos de actores de amenazas para llevar a cabo múltiples actividades maliciosas».

Fuente y redacción: thehackernews.com

Compartir