RATicate

Los expertos en malware han detectado un nuevo grupo de piratería que parece especializarse en RAT (troyanos de acceso remoto). Debido a esto, el grupo de ciberdelincuencia ha recibido el nombre de RATicate. Sin embargo, el grupo de piratería RATicate utiliza otras amenazas, como puertas traseras y ladrones de información. El grupo RATicate surgió por primera vez en 2019 y desde entonces ha llevado a cabo una serie de ataques de alto perfil. El grupo RATicate se basa en una única infraestructura para todos sus ataques, independientemente de las herramientas de piratería implementadas. Esto permitió a los analistas de malware determinar que, entre noviembre de 2019 y enero de 2020, el grupo de piratería RATicate llevó a cabo cinco operaciones RAT a gran escala.

La mayoría de las campañas del grupo RATicate se concentran en Corea del Sur, Europa y Medio Oriente. Los objetivos del grupo RATicate son empresas que operan en diversas industrias. Después de la operación a gran escala que tuvo lugar en enero de 2020, el grupo RATicate guardó silencio por un tiempo hasta que volvieron a ser el centro de atención con una operación con el tema del coronavirus. Su última campaña se utilizó para entregar varias RAT diferentes a través de técnicas de phishing. Numerosos delincuentes cibernéticos están utilizando contenido relacionado con el COVID-19 para phishing a los usuarios, así que tenga mucho cuidado si recibe un correo electrónico sobre la pandemia. Es probable que se trate de un esquema u otro contenido amenazante, con el que no debe interactuar bajo ninguna circunstancia.

Entre los movimientos característicos del grupo de piratería RATicate está el uso de instaladores NSIS. La utilidad NSIS es una herramienta legítima que los desarrolladores usan para crear instaladores para diferentes aplicaciones. El hecho de que la utilidad NSIS tenga una estructura modular permite a los atacantes modificar su funcionalidad agregando complementos y funciones adicionales. Es probable que el grupo de piratería RATicate utilice esta funcionalidad para ampliar las características de los instaladores y permitirles:

• Matar procesos activos.
• Descomprimir archivos.
• Cargue archivos DLL dañados (bibliotecas de enlace dinámico).
• Ejecutar comandos.

La mayoría de las campañas del grupo RATicate implementan herramientas de piratería conocidas como Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook , etc. La solución antimalware actualizada podrá proteger su sistema.