Aumento de Infecciones por NetSupport RAT

En los últimos meses, se ha observado un aumento de las infecciones por NetSupport RAT, un tipo de malware que permite a los atacantes controlar de forma remota las computadoras infectadas. Este malware es especialmente peligroso porque puede utilizarse para robar información confidencial, instalar otros malwares o incluso tomar el control total de una computadora. En este artículo, vamos a explicarte cómo funciona NetSupport RAT, cómo se puede detectar y prevenir, y qué medidas se deben tomar en caso de infección.

¿Qué es NetSupport RAT?

NetSupport RAT es una herramienta de administración remota (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de los dispositivos infectados y realizar diversas acciones maliciosas, como robar datos, espiar la actividad del usuario, transferir archivos, manipular la configuración del sistema y propagarse a otros dispositivos dentro de la red.

NetSupport RAT se basa en un software legítimo llamado NetSupport Manager, que se utiliza para fines de soporte técnico y gestión de sistemas remotos. Sin embargo, los atacantes han aprovechado este software para sus propios fines maliciosos, utilizando diferentes métodos de distribución, como actualizaciones falsas, descargas automáticas, cargadores de malware (como GhostPulse) y campañas de phishing.

Te podrá interesar leer:  Troyanos de Acceso Remoto: Software Malicioso (RAT)

El Aumento de las Infecciones

Los ciberdelincuentes están enfocando sus ataques en los sectores educativo, gubernamental y de servicios empresariales mediante el uso de un troyano de acceso remoto conocido como NetSupport RAT.

"Los métodos de distribución de NetSupport RAT incluyen actualizaciones falsas, descargas no autorizadas, el uso de cargadores de malware como GHOSTPULSE y diversas técnicas de phishing", informaron los expertos de VMware Carbon Black en un estudio compartido. La empresa de ciberseguridad reportó que en las últimas semanas ha identificado al menos 15 nuevas infecciones vinculadas a NetSupport RAT.

Aunque NetSupport Manager se originó como una herramienta legítima de administración remota para soporte técnico, ha sido cooptada por actores maliciosos para fines ilícitos, sirviendo como punto de partida para ataques más avanzados. Normalmente, NetSupport RAT se instala en los sistemas de las víctimas a través de sitios web falsos y actualizaciones de navegador engañosas.

En agosto de 2022, se descubrió una campaña que utilizaba sitios de WordPress comprometidos para mostrar páginas falsas de protección DDoS de Cloudflare, lo cual derivó en la distribución de NetSupport RAT.

El uso de actualizaciones falsas de navegadores web es una estrategia comúnmente ligada a la implementación de un malware descargador basado en JavaScript conocido como SocGholish (también referido como FakeUpdates), que también se ha visto difundiendo un malware de carga bajo el nombre en código BLISTER.

Luego, la carga útil de JavaScript activa PowerShell para conectar con un servidor remoto y descargar un archivo ZIP que contiene NetSupport RAT. Una vez instalado, el malware se conecta a un servidor de comando y control (C2).

"Tras su instalación en el dispositivo de la víctima, NetSupport puede monitorear la actividad, transferir archivos, modificar configuraciones del sistema y propagarse a otros dispositivos en la red", explicaron los investigadores.

Impacto de las Infecciones por NetSupport RAT

Las consecuencias de una infección por NetSupport RAT pueden ser graves, incluyendo:

1. Pérdida de Datos Confidenciales: Los atacantes pueden robar información sensible como credenciales de acceso, datos financieros y personales.
2. Control Remoto del Sistema: El RAT permite a los atacantes controlar el sistema infectado, pudiendo ejecutar comandos, instalar otros malwares o usar el sistema para lanzar ataques.
3. Pérdida de Productividad: La remoción del malware y la recuperación de sistemas puede llevar tiempo, afectando la productividad empresarial.

¿Cómo detectar y prevenir NetSupport RAT?

Para detectar y prevenir NetSupport RAT, se deben seguir algunas buenas prácticas de seguridad, como:

1. Mantener el sistema operativo y las aplicaciones actualizados, para evitar que los atacantes exploten vulnerabilidades conocidas.
   
   
2. Utilizar un software antivirus y un firewall, y configurarlos correctamente para bloquear y eliminar las amenazas potenciales.
   
   
3. Evitar hacer clic en enlaces o descargar archivos sospechosos, especialmente si provienen de fuentes desconocidas o no solicitadas.
   
   
4. Verificar la autenticidad y la seguridad de los sitios web que se visitan, comprobando el nombre de dominio, el certificado SSL y la reputación online.
   
   
5. Educar y concienciar a los usuarios sobre los riesgos y las señales de los ataques de NetSupport RAT, como las falsas páginas de actualización, los mensajes de error inesperados, el rendimiento lento del dispositivo o el comportamiento anómalo del sistema.

Podría interesarte leer:  Concientización: Esencial en la Ciberseguridad de tu Empresa

¿Qué hacer en caso de infección?

Si se sospecha o se confirma una infección por NetSupport RAT, se deben tomar las siguientes medidas:

• Desconectar el dispositivo de la red e Internet, para evitar que el atacante acceda o dañe más información, o que se propague a otros dispositivos.
• Analizar el dispositivo con un software antivirus actualizado, para identificar y eliminar los componentes maliciosos de NetSupport RAT.
• Restaurar el dispositivo a un estado anterior, utilizando una copia de seguridad limpia, o reinstalar el sistema operativo y las aplicaciones, para asegurarse de que no queden rastros de NetSupport RAT.
• Cambiar todas las contraseñas que puedan haber sido comprometidas, como las de las cuentas de correo electrónico, redes sociales, servicios bancarios o plataformas de trabajo.
• Notificar el incidente a las autoridades competentes, y seguir sus indicaciones para denunciar el ataque y colaborar con la investigación.

También te podrá interesar leer:  GERT: Respuesta Efectiva a Incidentes de Ciberseguridad

El aumento de las infecciones por NetSupport RAT es un recordatorio de la constante evolución de las amenazas cibernéticas. Comprender cómo opera este tipo de malware y tomar medidas proactivas para prevenir infecciones es esencial para mantener la seguridad de la información en un mundo cada vez más conectado.

Para protegerse de NetSupport RAT, se deben seguir las buenas prácticas de seguridad, como mantener el sistema actualizado, utilizar un software antivirus, evitar los enlaces y archivos sospechosos, verificar los sitios web que se visitan y educar a los usuarios sobre los riesgos y las señales de los ataques.