La seguridad cibernética es un tema que se ha vuelto cada vez más relevante en los últimos años. Con la creciente dependencia de la tecnología y la interconexión de dispositivos, los ciberdelincuentes han encontrado nuevas formas de aprovecharse de las vulnerabilidades en sistemas y redes. Uno de los ejemplos más recientes es el Quasar RAT, un troyano de acceso remoto de código abierto que ha estado utilizando una técnica llamada carga lateral de DLL para pasar desapercibido y robar datos de computadoras con Windows comprometidas.
La técnica de carga lateral de DLL
La técnica de carga lateral de DLL es una estrategia que se aprovecha de la confianza que los archivos DLL tienen dentro del entorno de Windows. Básicamente, lo que hace esta técnica es utilizar un archivo DLL falso con un nombre que coincide con el de un archivo ejecutable benigno que el sistema está buscando. Esto permite que el código malicioso se esconda dentro de un archivo que parece ser legítimo.
Quasar RAT: un peligroso actor en el mundo cibernético
Quasar RAT, también conocido como CinaRAT o Yggdrasil, es un troyano de acceso remoto. Lo que lo hace particularmente peligroso es su capacidad para recopilar información del sistema, obtener una lista de aplicaciones en ejecución, acceder a archivos, registrar pulsaciones de teclas, capturar pantallas y ejecutar comandos de shell arbitrarios. Esto significa que un atacante que tenga acceso a una computadora comprometida con Quasar RAT puede recopilar una gran cantidad de información confidencial.
El modo de operación de Quasar RAT
Para entender mejor como Quasar RAT utiliza la carga lateral de DLL en sus ataques, es necesario desglosar su modus operandi:
- Inicio del ataque: El ataque comienza con un archivo de imagen ISO que contiene tres archivos. El primero es un archivo binario legítimo llamado ctfmon.exe, que es renombrado como eBill-997358806.exe. El segundo archivo es un MsCtfMonitor.dll que se renombra como monitor.ini, y el tercero es un MsCtfMonitor.dll malicioso.
- Ejecución del código malicioso: Cuando se ejecuta el archivo «eBill-997358806.exe», inicia la carga del archivo «MsCtfMonitor.dll» mediante la técnica de carga lateral de DLL. Esto oculta el código malicioso dentro del archivo, lo que hace que pase desapercibido para el sistema.
- Inyección de código: El código malicioso oculto es otro ejecutable llamado «FileDownloader.exe». Este archivo se inyecta en Regasm.exe, la Herramienta de Registro de Ensamblado de Windows, para lanzar la siguiente etapa del ataque.
- Segunda etapa: La segunda etapa implica la ejecución de un archivo calc.exe auténtico que carga el archivo rogue Secure32.dll nuevamente a través de la carga lateral de DLL. Esto permite que Quasar RAT lance su carga útil final.
Las consecuencias
Una vez que Quasar RAT se encuentra en un sistema comprometido, establece conexiones con un servidor remoto para enviar información del sistema. Además, configura un proxy inverso que permite el acceso remoto al punto final comprometido. Esto significa que los atacantes pueden tener un control completo sobre la computadora y acceder a datos confidenciales.
Protegiéndonos del Quasar RAT
Si bien la identidad del actor de amenazas y el vector de acceso inicial no están claros en este momento, es probable que el Quasar RAT se disemine mediante correos electrónicos de phishing. Por lo tanto, es esencial que los usuarios estén alerta ante correos sospechosos, enlaces o archivos adjuntos.
La ciberseguridad es un tema que no debemos tomar a la ligera. Mantener nuestros sistemas y dispositivos actualizados con las últimas medidas de seguridad es fundamental para protegernos de amenazas como el Quasar RAT. La confianza en archivos DLL puede ser aprovechada por los ciberdelincuentes, pero con la debida precaución y conocimiento, podemos reducir el riesgo de ser víctimas de estos ataques.
Para todo lo que necesites, Esolvo Security Systems, está contigo
