Ciberseguridad 360 | Troyano Xeno RAT surge como una potente amenaza en GitHub

Un troyano de acceso remoto (RAT) "intrincadamente dise�ado" llamado Xeno RAT se ha puesto a disposici�n en GitHub, poni�ndolo a disposici�n de otros actores sin coste adicional.

Escrito en C# y compatible con los sistemas operativos Windows 10 y Windows 11, el RAT de c�digo abierto viene con un "amplio conjunto de caracter�sticas para la gesti�n remota del sistema", seg�n su desarrollador, que responde al nombre de moom825.

Incluye un proxy inverso SOCKS5 y la capacidad de grabar audio en tiempo real, as� como incorporar un m�dulo de computaci�n virtual en red oculta (hVNC) en la l�nea de DarkVNC, que permite a los atacantes obtener acceso remoto a un ordenador infectado.

"Xeno RAT est� desarrollado completamente desde cero, lo que garantiza un enfoque �nico y a medida de las herramientas de acceso remoto", afirma el desarrollador. Otro aspecto destacable es que cuenta con un constructor que permite crear variantes a medida del malware.

Cabe destacar que moom825 tambi�n es el desarrollador de otra RAT basada en C# llamada DiscordRAT 2.0, que ha sido distribuida por actores de amenazas dentro de un paquete npm malicioso llamado node-hide-console-windows, seg�n revel� ReversingLabs en octubre de 2023.

La empresa de ciberseguridad Cyfirma, en un informe publicado la semana pasada, afirm� haber observado que Xeno RAT se diseminaba a trav�s de la red de distribuci�n de contenidos (CDN) Discord, lo que subraya una vez m�s c�mo el aumento del malware asequible y de libre acceso est� impulsando un incremento de las campa�as que utilizan RAT.

Fuente: github moom825/xeno-rat

"El vector primario en forma de archivo de acceso directo, disfrazado de captura de pantalla de WhatsApp, act�a como descargador", dijo la compa��a. "El descargador descarga el archivo ZIP de Discord CDN, lo extrae y ejecuta la carga �til de la siguiente etapa".

La secuencia de m�ltiples etapas aprovecha una t�cnica llamada DLL side-loading para lanzar una DLL maliciosa, mientras que simult�neamente toma medidas para establecer la persistencia y evadir el an�lisis y la detecci�n.

El desarrollo se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) revel� el uso de una variante de Gh0st RAT llamada Nood RAT que se utiliza en ataques dirigidos a sistemas Linux, permitiendo a los adversarios cosechar informaci�n sensible.

"Nood RAT es un malware de puerta trasera que puede recibir comandos del servidor de C&C para realizar actividades maliciosas como descargar archivos maliciosos, robar archivos internos de los sistemas y ejecutar comandos", dijo ASEC.

"Aunque simple en su forma, est� equipado con la funci�n de cifrado para evitar la detecci�n de paquetes de red y puede recibir comandos de los actores de amenazas para llevar a cabo m�ltiples actividades maliciosas."

Fuente: thehackernews.com