RevengeRAT
RevengeRAT es parte de una amenazante campaña de malware dirigida a usuarios de computadoras ubicados en Europa, Asia, Oriente Medio y América del Norte. RevengeRAT se distribuye a través de una variedad de páginas web alojadas en plataformas públicas como Blogspot y Pastebin, que también utilizan estas páginas como parte de la infraestructura de comando y control de RevengeRAT que se utiliza para llevar a cabo los ataques de RevengeRAT. Los informes de la última campaña de RevengeRAT comenzaron a aparecer en marzo de 2019, a pesar de que el troyano RevengeRAT existe desde 2016. Esta campaña de malware actual asociada con RevengeRAT se conoce como 'Aggah' y parece estar dirigida a grandes empresas y redes gubernamentales.
Tabla de contenido
Cómo el troyano RevengeRAT ataca una computadora
El troyano RevengeRAT ha estado disponible para todos desde 2016, lanzado en foros de piratería. Una vez que RevengeRAT está instalado, RevengeRAT permite al atacante controlar la computadora infectada desde lejos. Con RevengeRAT, los delincuentes pueden obtener acceso a archivos en un dispositivo informático, ejecutar procesos y servicios de memoria, espiar las actividades de la víctima y realizar cambios en el dispositivo afectado. RevengeRAT también permite a los delincuentes obtener acceso a los periféricos conectados a la computadora infectada, por ejemplo, permitiéndoles rastrear las pulsaciones de teclas en el teclado de la computadora infectada o acceder a la cámara o al micrófono para monitorear los alrededores de la computadora infectada.
Cómo se distribuye RevengeRAT en la campaña Aggah
RevengeRAT se ha distribuido en una gran variedad de formas desde su creación, que incluyen métodos típicos de entrega de malware que son bien conocidos, como el uso de archivos adjuntos de correo electrónico no deseado o anuncios en línea corruptos y sitios web corruptos. La forma principal en la que se entrega RevengeRAT en la campaña de Aggah es a través de documentos corruptos que usan macros incrustadas para descargar e instalar RevengeRAT en la computadora de la víctima. Las macros integradas asociadas con esta campaña usan publicaciones en Blogspot para obtener un script que usa contenido de Pastebin para descargar contenido adicional hasta que finalmente RevengeRAT se instala y se conecta a su servidor de Comando y Control. El archivo señuelo inicial, que inicia el ataque RevengeRAT, se puede disfrazar de varias formas y puede cambiar según la víctima. Una muestra observada el 27 de marzo de 2019 fue entregada en un mensaje de correo electrónico falso de un banco con el asunto 'Su cuenta está bloqueada', engañando a la víctima para que abra el archivo adjunto pensando que es un documento oficial de un banco.
Cómo RevengeRAT infecta un dispositivo
Cuando la víctima abre el archivo de señuelo, muestra una imagen para engañar a la víctima para que habilite las macros de Microsoft Office. Permitir que esto suceda permite que RevengeRAT se instale en la computadora de la víctima a través de un proceso con múltiples pasos que involucran varias URL diferentes. Tan pronto como se instale RevengeRAT, este troyano deshabilitará Microsoft Defender e intentará deshabilitar otro contenido de seguridad en la computadora de la víctima. La variante RevengeRAT instalada en estos ataques recientes se llama 'Explosión nuclear' y parece llevar a cabo un típico ataque RAT de puerta trasera. Se ha hecho clic en un enlace asociado con la distribución de RevengeRAT casi dos mil veces con objetivos en más de veinte países diferentes. Esto sugiere el hecho de que es muy probable que los ataques de RevengeRAT hayan tenido éxito en llegar a las víctimas potenciales en particular.
Protección de sus datos de RevengeRAT
La mejor protección contra RAT como el troyano RevengeRAT es tener un producto de seguridad completamente actualizado instalado en su computadora. Además de tener un programa anti-malware confiable, los investigadores de malware también aconsejan a los usuarios de computadoras que se aseguren de que otros dispositivos de seguridad en su computadora estén habilitados, como un firewall confiable y un filtro anti-spam. Los investigadores de seguridad de PC recomiendan deshabilitar las macros en Microsoft Office y evitar la descarga de archivos sospechosos, en particular archivos adjuntos de correo electrónico no solicitados.