Quasar RAT: Un Troyano de Acceso Remoto de Código Abierto que Explota Técnicas de Carga Lateral de DLL

La ciberseguridad es una preocupación constante en un mundo cada vez más digitalizado. Los ciberdelincuentes están en constante evolución, encontrando nuevas formas de infiltrarse en nuestros sistemas y extraer datos valiosos. Uno de los últimos ejemplos de esta evolución es el troyano de acceso remoto Quasar RAT, que utiliza técnicas avanzadas de carga lateral de DLL para llevar a cabo ataques sigilosos en dispositivos Windows.

Quasar RAT, también conocido como CinaRAT o Yggdrasil, es una herramienta legítima basada en C# para administración remota. Sus capacidades van desde recopilar información del sistema hasta tomar capturas de pantalla y ejecutar comandos de shell arbitrarios. Es una herramienta versátil que, lamentablemente, se ha convertido en una elección común para los ciberdelincuentes que buscan infiltrarse en sistemas Windows.

El método que utiliza Quasar RAT para llevar a cabo sus ataques es ingenioso. En lugar de tratar de eludir las medidas de seguridad de forma directa, aprovecha la confianza del sistema en archivos DLL (Dynamic Link Library). Las DLL son archivos esenciales para el funcionamiento de programas y, por lo general, se consideran seguras. Los ciberdelincuentes explotan esta confianza al reemplazar archivos DLL legítimos con versiones maliciosas.

El proceso de ataque comienza con una imagen ISO que contiene tres archivos. Uno de estos archivos ejecutables desencadena la carga de la biblioteca “MsCtfMonitor.dll”, que oculta el código malicioso. Este código oculto es otro archivo ejecutable que se inyecta en “Regasm.exe”, una herramienta de registro de compilación de Windows. Aquí es donde se inicia la siguiente etapa del ataque.

La astucia de los atacantes se hace evidente en esta etapa. El archivo legítimo “calc.exe”, que es simplemente la calculadora del sistema, se ejecuta, pero con una biblioteca DLL maliciosa adjunta. Este engaño hace que el ataque pase desapercibido, ya que aparentemente se está ejecutando una aplicación común y segura. Sin embargo, en realidad, el troyano Quasar RAT se descarga silenciosamente en la computadora de la víctima.

Una vez que Quasar RAT se infiltra en el sistema, establece una conexión con un servidor remoto. Esta conexión se utiliza para enviar información periódica sobre el sistema infectado, lo que permite a los ciberdelincuentes obtener acceso a datos sensibles. Además, el troyano configura un proxy inverso, lo que facilita el acceso rápido al punto final y potencialmente permite a los atacantes realizar acciones maliciosas adicionales.

Aunque aún no se ha determinado quién está detrás de este ataque específico ni el vector exacto que se utilizó para su propagación, los investigadores sugieren que los correos electrónicos de phishing podrían haber sido la puerta de entrada. Los correos electrónicos de phishing son un método comúnmente utilizado por los ciberdelincuentes para engañar a las personas y hacer que descarguen archivos o hagan clic en enlaces maliciosos.

Este último incidente destaca la importancia de ser cauteloso al interactuar con correos electrónicos, enlaces o archivos adjuntos sospechosos. La ciberseguridad es una responsabilidad compartida, y la educación y la conciencia son nuestras mejores defensas contra las amenazas en línea.

Si alguna vez tiene dudas sobre la seguridad de su computadora, es esencial escanearla con una solución antivirus confiable que tenga las últimas bases de datos de firmas. La prevención y la detección temprana son cruciales en la lucha contra las amenazas cibernéticas en constante evolución.

#Ciberseguridad? #Troyano? #QuasarRAT? #SeguridadInformática?️ #CargaLateralDLL? #Phishing? #Vulnerabilidades?️ #ProtecciónDeDatos? #Ciberdelincuencia? #PrevenciónDeAtaques?