Con las implementaciones tecnológicas que existen hoy en día es normal que muchos de los dispositivos se encuentren bajo amenazas de diversos ataques, uno de los ataques más comunes proviene del malware denominado “Troyano”, la característica principal de este malware es que se esconde dentro de otra aplicación o se hace pasar por ellas para pasar desapercibido ante los antivirus y al momento de ser ejecutado puedan liberar la carga útil del virus sin levantar sospechas a la víctima. Existen muchos tipos de troyanos, los cuales se dividen en función a su objetivo uno de los más utilizados es el RAT “Remote Access Trojan” el cual como su nombre lo indica es un troyano que permite al atacante tener acceso remoto a la máquina víctima.
Debido a la naturaleza de este malware utiliza el protocolo RPD el cual permite al atacante tener un acceso completo de la máquina, incluso la manipulación del teclado y el cursor; sin embargo, no significa que tenga acceso a toda la información de la víctima debido a que sólo gana acceso a la máquina y no a la información cifrada del dispositivo, es por ello que los RAT se instalan junto con otros malware como por ejemplo los “keylogger”. El keylogger es un malware que se ejecuta en segundo plano el cual lleva un registro de todo lo que el usuario esté tecleando e interactuando con la máquina, de esta manera el atacante puede llegar a tener registro de sus cuentas de usuario y contraseñas de la víctima.
El proceso de infección de este malware se basa en el uso de ingeniería social para convencer a la víctima de que instale cierta aplicación la cual contiene él RAT, otra alternativa viene utilizando el método de phishing y mediante el camuflaje del malware, este pueda ser ejecutado; una última alternativa es descargar una aplicación de un sitio sospechoso aumenta las posibilidades de qué este virus sea instalado dentro de la máquina. Un detalle a tener en cuenta es que los RAT pueden ser escondidos dentro de las macros de archivos Word, Excel y PowerPoint, siendo estos uno de los principales métodos de camuflaje que utiliza este troyano.
El 23 de diciembre de 2015, la mitad del territorio de Ivano-Frankivsk sufrió un ciberataque dónde les cortaron la electricidad durante varias horas; de acuerdo con los datos telemétricos de la ESET se dieron cuenta qué este no fue un incidente aislado sino un ataque orquestado debido a que otras plantas energéticas de Ucrania sufrieron este mismo incidente de forma casi paralela. Mediante la investigación se descubrió que el malware utilizado es denominado “BlackEnergy” el cual es un RAT con función de backdoor el cual fue utilizado para poder instalar KillDisk evitando que los dispositivos pueden iniciarse.
El RAT “BlackEnergy” fue presentado en la conferencia Virus Bulletin 2014, en el cual se presentaba como una herramienta de espionaje cibernético también se presentó que este malware podía ser insertado junto con la vulnerabilidad “CVE-2014-4114” la cual afectaba a PowerPoint. Debido a ello en el 2014 se realizaron muchos ataques con el objetivo de infectar dispositivos utilizando el malware y la vulnerabilidad de PowerPoint, de acuerdo con el Equipo de Respuesta a Emergencias Informáticas de Ucrania CERT-UA se encontró una relación del malware junto con el “KillDisk” en 2015; sin embargo, muchas empresas sufrieron estos ataques antes de tener como objetivo las plantas energéticas; a continuación, se presentará una imagen del archivo infectado utilizado:
Imagen1: Archivo de Excel con “BlackEnergy”[1]
Otro RAT muy conocido es denominado “NanoCore” el cual es utilizado principalmente para espionaje y robo de información, este malware se considera activo desde el 2013 hasta la actualidad, de acuerdo con la agencia nacional de ciberseguridad de los Estados Unidos “CISA” en 2021 este malware fue el más utilizado en todo el ciberespacio, la forma como se distribuía era debido ataques de phishing, donde a las víctimas se les enviaba correos con archivos adjuntos solicitando su apoyo para revisarlos, estos archivos adjuntos no parecían presentar ningún problema al equipo; no obstante, el equipo mandaba información al atacante, el cual generaba una base de datos después subastada en foros clandestinos e ilegales. Actualmente sigue siendo uno de los malware más utilizados en la actualidad; a continuación, se presentarán algunos ejemplos te los correos que se han identificado con el malware:
Imagen2: Ejemplo de correo con "NanoCore"[2]
Imagen3: Ejemplo de correo con "NanoCore"[2]
Cómo se pudo observar mediante estos casos nadie está exento de ser una víctima de los ataques; sin embargo, existen métodos de prevención para ellos entre los cuales destacan tener buenas prácticas de ciberseguridad, evitar abrir correos o mensajes sospechosos, mantener actualizados todas las aplicaciones y servicios, entre muchas otras; sin embargo, esto no es una garantía de que no podamos ser víctimas del ataque por lo cual es necesario ser conscientes del peligro que hay en el internet y poder actuar de forma hola responsable ante estas situaciones.
Referencias:
[1] El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania. (2016, 5 de Enero). https://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-energia-electrica-ucrania/
[2] NanoCore: un malware del tipo RAT muy utilizado para espiar a las víctimas. (2022, 17 de Noviembre). https://www.welivesecurity.com/la-es/2022/11/17/nanocore-malware-principales-caracteristicas/
[3] Qué es un troyano de acceso remoto (RAT)? Cómo detectarlos y mucho más | Proofpoint ES. (2023, 29 de Diciembre). Proofpoint. https://www.proofpoint.com/es/threat-reference