Hoy en día, nos enfrentamos a una variedad de amenazas, algunas de las cuales adoptan tácticas sorprendentemente sigilosas para comprometer los sistemas. Un ejemplo preocupante es la estrategia utilizada por ciertos tipos de malware de código abierto, como Quasar RAT que emplean técnicas como la carga lateral de DLL para infiltrarse en los sistemas. Aquí, desglosaremos estos conceptos complejos para entender cómo funcionan y por qué son una preocupación significativa para individuos y empresas.
Quasar RAT, un troyano de acceso remoto de código abierto, ha emergido como una amenaza, empleando la carga lateral de DLL para infiltrarse en sistemas Windows y extraer información valiosa, evadiendo medidas de seguridad convencionales.
Expertos en ciberseguridad, han expuesto en un informe reciente las tácticas insidiosas de este malware. Revelan que el software malicioso se camufla entre archivos legítimos de Windows y explota programas como ctfmon.exe y calc.exe para perpetrar sus ataques.
Conocido también como CinaRAT o Yggdrasil y construido en C#, Quasar RAT no es simplemente un programa malicioso; es una suite de espionaje digital capaz de realizar una vigilancia exhaustiva. Puede recolectar datos del sistema, monitorear aplicaciones activas, manipular archivos, registrar teclas pulsadas, tomar capturas de pantalla y operar comandos de shell a su antojo. Los actores maliciosos utilizan la carga lateral de DLL, un método común pero efectivo, introduciendo una DLL corrupta que imita ser parte de un programa genuino, engañando así al sistema operativo.
El modus operandi detallado por Uptycs involucra un archivo de imagen ISO equipado con tres componentes clave: una versión disfrazada del archivo legítimo ctfmon.exe, bautizado como eBill-997358806.exe, junto con una copia de MsCtfMonitor.dll y su versión malintencionada. Al activar «eBill-997358806.exe», se desencadena una serie de eventos que comienzan con la carga de la DLL corrupta de "MsCtfMonitor", escondiendo en su interior un código dañino denominado «FileDownloader.exe». Este último se infiltra en «Regasm.exe», preparando el terreno para los siguientes movimientos del ataque.
El ataque avanza con la implicación de calc.exe, un ejecutable auténtico, que sirve como vehículo para una nueva DLL maliciosa llamada Secure32.dll. El resultado final es la activación de Quasar RAT, listo para ejecutar su misión de espionaje.
Una vez en acción, el troyano se comunica con un servidor externo, transmitiendo datos confidenciales y estableciendo un canal oculto que otorga control remoto sobre el equipo infectado a los atacantes. Si bien las intenciones exactas del perpetrador y los medios iniciales de lanzamiento del ataque son inciertos, se sospecha la distribución a través de tácticas de phishing por correo electrónico. Este escenario resalta la necesidad crítica de que los individuos estén alerta y desconfíen de cualquier comunicación digital, enlaces o descargas que parezcan fuera de lugar.
Te podría interesar leer: ¿Qué es un Virus Troyano?
Entonces, ¿cómo se protegen los individuos y las empresas contra tales amenazas insidiosas? Aquí hay varias medidas proactivas que se pueden tomar:
Educación y Conciencia: Capacitar a los trabajadores sobre las amenazas de seguridad cibernética, cómo reconocerlas y qué hacer si se encuentran con una es crucial. Una base sólida de conocimientos ayuda a prevenir incidentes resultantes de errores humanos, que son notoriamente comunes.
Política de Seguridad Estricta: Implementar políticas de seguridad, incluyendo la restricción de los privilegios de administrador para usuarios y aplicaciones, puede limitar cómo el malware afecta a un sistema. Además, mantener una lista de aplicaciones confiables y asegurarse de que solo se puedan ejecutar esas aplicaciones previene la ejecución de programas maliciosos.
Actualizaciones y Parches Regulares: Mantener los sistemas operativos y el software actualizados cierra las vulnerabilidades que los atacantes podrían explotar. Aunque la carga lateral de DLL no depende de fallas de software, el mantenimiento de sistemas actualizados puede prevenir muchas otras amenazas.
Herramientas de Seguridad Avanzadas: Utilizar soluciones antivirus y antimalware modernas que se actualicen constantemente contra nuevas amenazas. Estos programas, especialmente aquellos que emplean detección de comportamiento, pueden ser más efectivos contra variantes de malware de código abierto.
Monitoreo Continuo: Adoptar un enfoque proactivo con el monitoreo de red y sistema 24/7. Las herramientas de detección de intrusiones y los equipos de respuesta a incidentes pueden identificar y responder rápidamente a las actividades sospechosas.
Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
La ciberseguridad es una batalla constante, especialmente con la presencia de herramientas de código abierto como Quasar RAT y tácticas subversivas como la carga lateral de DLL. Comprender cómo operan estas amenazas y seguir prácticas de seguridad cibernética sólidas puede ayudar a proteger los activos valiosos y mantener la integridad y confidencialidad de los sistemas y datos críticos.