Atroposia RAT
Atroposia es un troyano de acceso remoto (RAT) comercializado en foros clandestinos. Proporciona a sus operadores un control profundo y sigiloso sobre los equipos comprometidos y un amplio conjunto de herramientas para robar datos, manipular el comportamiento de la red y buscar vulnerabilidades en los sistemas. Debido a sus amplias capacidades y mecanismos de evasión, cualquier presencia confirmada de Atroposia en un dispositivo requiere su eliminación inmediata.
La amenaza del malware se ofrece a los potenciales 'clientes' en tres niveles de pago:
Alquiler mensual: $200
Trimestral: $500 (tres meses)
Semestral: $900 (seis meses)
Tabla de contenido
Sigilo, persistencia y canal de mando
Atroposia está diseñado para permanecer oculto. Puede escalar privilegios automáticamente (eludiendo el Control de cuentas de usuario), emplea diversas técnicas de persistencia para sobrevivir a los reinicios y está diseñado para evadir la detección de antivirus. Sus comunicaciones con los servidores de comando y control del operador están cifradas, y un panel de control de tipo web simplifica la ejecución de tareas maliciosas incluso para delincuentes con conocimientos moderados.
Control remoto oculto y manejo de archivos
Una característica distintiva es un componente de escritorio remoto oculto (comercializado como «HRDP Connect») que abre una sesión invisible en el equipo de la víctima, permitiendo que un atacante remoto interactúe con el escritorio sin que el usuario lo note. Además, Atroposis incluye un administrador de archivos que permite a los atacantes explorar unidades y carpetas, buscar archivos, descargarlos, eliminarlos o ejecutarlos de forma remota.
Recolección masiva y embalaje discreto
El RAT contiene un programa que busca archivos por extensión o palabra clave y agrupa los resultados en un archivo ZIP protegido con contraseña. Puede ensamblar y empaquetar datos completamente en memoria o utilizar utilidades del sistema integradas, minimizando así los archivos residuales en el disco y dificultando la detección forense.
Capacidades de robo de credenciales y billeteras
El módulo de robo de Atroposia recopila una amplia gama de información confidencial: contraseñas guardadas del navegador, credenciales de aplicaciones empresariales y clientes VPN, datos de programas de mensajería, datos de gestores de contraseñas (cuando estén disponibles) e información de monederos de criptomonedas. También captura el contenido del portapapeles (todo lo que el usuario copia o corta), registra y almacena dichas entradas. Incluso puede sobrescribir el contenido del portapapeles para reemplazar las direcciones de monedero o las credenciales copiadas; una técnica útil para desviar fondos o secuestrar cuentas.
Manipulación de redes y secuestro de DNS
El malware puede modificar la configuración DNS o interceptar las consultas de nombres para que el navegador de la víctima sea redirigido silenciosamente a sitios web fraudulentos controlados por el atacante (por ejemplo, páginas de inicio de sesión falsas). Dado que el navegador puede seguir mostrando la URL esperada, las víctimas pueden ser engañadas para que introduzcan sus credenciales creyendo que se encuentran en un sitio web legítimo.
Escaneo de vulnerabilidades y oportunidades de escalamiento
Atroposia incluye un escáner que inspecciona el host infectado en busca de parches faltantes, configuraciones débiles y software desactualizado. En entornos empresariales, esto puede revelar objetivos de alto valor —clientes VPN sin parches, vulnerabilidades de escalada de privilegios u otras exposiciones— que los atacantes explotan para ampliar el acceso a través de la red.
utilidades de telemetría del sistema y control remoto
Además del robo de datos y el acceso remoto al escritorio, el RAT recopila metadatos del sistema (direcciones IP, versión del SO, geolocalización y otros detalles del entorno), puede listar y administrar los procesos en ejecución y permite el apagado y reinicio remotos. El conjunto de herramientas también incluye utilidades adicionales de menor impacto que, en conjunto, proporcionan una amplia flexibilidad operativa.
Cómo suelen producirse las infecciones
Documentos maliciosos o convertidos en armas (por ejemplo, archivos PDF infectados u otros archivos adjuntos distribuidos por correo electrónico)
Paquetes de piratería de software, exploits drive-by, publicidad engañosa, esquemas de soporte técnico falsos, archivos P2P/compartidos, sitios de descarga engañosos, instaladores de terceros y canales similares.
¿Por qué tienen éxito esos métodos de distribución? Los atacantes recurren a la ingeniería social (documentos falsos, descargas atractivas o solicitudes para ejecutar archivos) o al abuso de vulnerabilidades e instaladores engañosos; la mayoría de las infecciones ocurren cuando se engaña a un usuario para que ejecute malware.
Resumen del impacto
Atroposia permite la exfiltración integral de datos (archivos, credenciales, datos del portapapeles, monederos de criptomonedas), el control remoto encubierto, la redirección de red mediante la manipulación del DNS y el reconocimiento para su posterior explotación. Su arquitectura sigilosa (escalada de privilegios, persistencia, empaquetado en memoria, C2 cifrado y sesiones remotas ocultas) la convierte en una amenaza especialmente grave tanto para particulares como para organizaciones.
Respuesta inmediata
Si se sospecha o detecta Atroposia en un sistema, desconecte el dispositivo de las redes, conserve los registros para su análisis si es posible y elimine el malware lo antes posible. Dado que los operadores pueden usar las credenciales robadas y rutas laterales, considere cualquier vulneración como potencialmente generalizada y valore la posibilidad de rotar las contraseñas, revocar los tokens y realizar una investigación interna más exhaustiva.
