Una vez que un hacker ha obtenido acceso inicial a una máquina objetivo, expandir y solidificar ese punto de apoyo es el siguiente paso lógico. En el caso de un ataque de phishing, esto implica el uso de malware para aprovechar el acceso proporcionado por el correo electrónico.

Una forma común de expandir el ataque en la máquina de destino es a través de troyanos de acceso remoto (RAT). Este tipo de malware está diseñado para permitir que un ciberdelincuente controle de forma remota una máquina de destino. Este proporciona un nivel de acceso similar al de un administrador de sistemas remoto. De hecho, algunos RAT se derivan o se basan en kits de herramientas de administración remota legítimos.

El criterio de evaluación principal para un RAT dado es qué tan bien le permiten a un hacker lograr sus objetivos en la computadora objetivo. Los diferentes RAT están especializadas para ciertos fines. Muchos de los mejores RAT están diseñados para proporcionar una gran cantidad de funcionalidades en una variedad de sistemas diferentes.

Los mejores RAT

Existen muchos troyanos de acceso remoto diferentes, y algunos ciberdelincuentes modifican los existentes o desarrollarán los suyos propios para adaptarlos mejor a sus preferencias. Los diferentes RAT también están diseñados para diferentes propósitos, especialmente con RAT dirigidos específicamente a cada objetivo potencial. Por ejemplo, computadora de escritorio versus dispositivos móviles, Windows versus Apple, etc.

Comparar diferentes RAT en todos los ámbitos es como comparar manzanas con naranjas. Sin embargo, algunos RAT se destacan del resto dentro de sus áreas particulares de especialización.

1. FlawedAmmyy – El favorito de los hackers

Al intentar identificar qué variante de malware es la más efectiva, es útil echar un vistazo a lo que los hackers están utilizando activamente. Cuando se trata de RAT, FlawedAmmyy se destaca como un claro favorito moderno entre los hackers.

FlawedAmmyy es un RAT que se desarrolló a partir del código fuente filtrado del software de administración remota Ammyy Admin. Se ha utilizado en una variedad de diferentes campañas de malware. No obstante, hizo historia en octubre de 2018 cuando apareció en la lista de CheckPoint de las 10 principales amenazas de malware de ese mes.

Esta fue la primera vez que un RAT apareció en la lista; resultado de una oleada de campañas de malware que impulsaron el RAT. Sin embargo, el RAT continúa apareciendo en incidentes, siendo utilizado por una variedad de diferentes grupos de hacking.

Dado que se derivó de una herramienta de administración remota legítima, FlawedAmmyy tiene una variedad de características integradas. Proporciona al usuario la capacidad de acceder al sistema de archivos, realizar capturas de pantalla y tomar el control del micrófono y la cámara.

2. Gratis y de código abierto: Quasar

Para los que no confían en un RAT gratuito y de código abierto el más recomendado es Quasar RAT (para evitar posibles puertas traseras). Quasar está escrito en C# y está disponible en GitHub. Se liberó por primera vez en julio de 2014 y ha recibido actualizaciones activas desde entonces.

Quasar se presenta como una herramienta de administración remota liviana que se ejecuta en Windows. Sin embargo, también tiene una variedad de funcionalidades diseñadas para el “monitoreo de los empleados” (es decir, también es útil para los ciberdelincuentes).

Esto incluye el registro de teclas, la capacidad de abrir shells remotas y la descarga de archivos en ejecución. Su número de características y su alta estabilidad (debido a las actualizaciones frecuentes) lo convierten en una opción popular.

3. Acceso móvil (iOS): PhoneSpector

En el mercado móvil, los RAT se anuncian como soluciones para ayudar a los padres a monitorear el uso celular de sus hijos. Asimismo, para que los empleadores monitoreen cómo sus empleados usan los dispositivos propiedad de la compañía. Hay aplicaciones de monitoreo de iOS disponibles que no requieren jailbreak del dispositivo de destino.

Uno de ellos es PhoneSpector, que se anuncia a sí mismo como diseñado para ayudar a padres y empleadores, pero actúa como malware. El software se puede instalar haciendo que el propietario del dispositivo haga clic en un enlace e ingrese una clave de producto en su dispositivo. Luego monitorea el dispositivo mientras permanece indetectable para el usuario.

PhoneSpector ofrece al ciberdelincuente la capacidad de monitorear una amplia variedad de actividades en el dispositivo. Esto incluye monitorear llamadas telefónicas y mensajes SMS (incluso aquellos que fueron eliminados), así como la actividad de las aplicaciónes. PhoneSpector incluso proporciona una línea de ayuda de servicio al cliente en caso de que un hacker se encuentre en un aprieto.

4. Acceso móvil (Android): AndroRAT

La cuota de mercado y el modelo de seguridad de Android significan que se ha desarrollado más malware para él. Lo mismo aplicar para los RAT de Android. Sin embargo, uno de los RAT de Android más famosos que existe es AndroRAT.

AndroRAT se desarrolló originalmente como un proyecto de investigación que demuestra la capacidad de controlar de forma remota los dispositivos Android. Empero desde entonces ha sido adoptado por delincuentes. El código fuente original del RAT está disponible en GitHub y proporciona una amplia variedad de características.

A pesar de la antigüedad del código fuente (última actualización en 2014), los ciberdelincuentes continúan usando AndroRAT. Incluye la capacidad de inyectar su código malicioso en aplicaciones legítimas, lo que facilita que un hacker lance una nueva aplicación maliciosa que lleva el RAT. Su funcionalidad incluye todas las características normales de un RAT móvil. Por ejemplo, incluido el acceso a la cámara/micrófono, monitoreo de llamadas y seguimiento de ubicación a través de GPS.

5. RAT para ICS: Havex

El malware dirigido a los sistemas de control industrial (ICS) no es nada nuevo, con nombres como Stuxnet e Industroyer diseñados para causar daños físicos. Sin embargo, algunos programas maliciosos centrados en ICS están destinados a controlar la infraestructura crítica.

Havex es un RAT de uso general, pero también tiene componentes específicos para los sistemas ICS. Esto incluye módulos de escaneo enfocados en puertos utilizados por Siemens y Rockwell Automation. El malware también se usó en ataques de pozos de agua centrados en ICS, lo que demuestra que está diseñado específicamente para apuntar a este sector.

Conclusión: mantener el acceso

Los troyanos de acceso remoto cumplen una función importante para los hackers. La mayoría de los vectores de ataque, como el phishing, son ideales para enviar un payload a una máquina. No obstante, no proporcionan al ciberdelincuente la capacidad de explorar e interactuar con el entorno objetivo.

Los RAT están diseñados para crear un punto de apoyo en la máquina objetivo que proporciona al ciberdelincuente el nivel necesario de control sobre la máquina.

Los cinco RAT descritos aquí se destacan por su capacidad para operar en un determinado entorno. Es más probable que un RAT especializada para el entorno objetivo pueda realizar su tarea prevista sin detección. Esto lo hace mucho más valioso como herramienta de vigilancia encubierta.