Antivirus impotentes: NetSupport RAT actúa desde la memoria RAM y evade la protección basada en archivos
El espía sobrevive a un reinicio y sigue filtrando información confidencial.
Los especialistas de la empresa Securonix detectaron una campaña maliciosa multinivel dirigida a la instalación oculta de la herramienta de acceso remoto NetSupport RAT. El ataque se desarrolla a través de una serie de etapas cuidadosamente disfrazadas, cada una diseñada para mantener la máxima discreción y dejar la menor cantidad de rastros posible en el dispositivo comprometido.
La carga inicial del código malicioso comienza con un archivo JavaScript incrustado en sitios web comprometidos. Este script tiene una estructura compleja y una lógica oculta que se activa solo cuando se cumplen ciertas condiciones. Puede distinguir el tipo de dispositivo del usuario y también registrar la primera visita a la página, lo que permite ejecutar acciones maliciosas solo una vez en cada dispositivo. Si las condiciones coinciden, el script o bien inserta en la página un iframe invisible, o bien carga la siguiente etapa: una aplicación HTML.
En la segunda etapa se ejecuta un archivo HTA, que actúa como una aplicación oculta ejecutada mediante la herramienta nativa de Windows, mshta.exe. Este archivo extrae un script PowerShell cifrado, lo descifra mediante un esquema multipasos y lo ejecuta directamente en memoria. De este modo, toda la actividad maliciosa se realiza sin crear archivos persistentes, lo que dificulta significativamente su detección por parte de los antivirus.
La etapa final implica la descarga e instalación del propio NetSupport RAT. Para ello, el script PowerShell descarga un archivo comprimido, lo descomprime en un directorio discreto y ejecuta el binario mediante un envoltorio JScript. Para mantener la persistencia en el sistema se crea un acceso directo en el inicio automático con la apariencia de un componente de actualización de Windows. Este enfoque permite a los atacantes conservar el acceso incluso después de reiniciar el dispositivo.
NetSupport RAT — originalmente una herramienta legítima de administración remota que los atacantes emplean activamente para espionaje, robo de datos y control remoto. En el marco de esta campaña, obtiene la capacidad de controlar completamente el sistema infectado, incluyendo la captura de las pulsaciones de teclado, la gestión de archivos, la ejecución de comandos y el uso de funciones de proxy para moverse lateralmente dentro de la red.
Según los especialistas, la infraestructura maliciosa se mantiene y actualiza de forma continua, y su arquitectura apunta a un alto nivel de habilidad por parte de sus desarrolladores. El ataque está dirigido a usuarios de sistemas corporativos y se propaga a través de sitios falsos y redirecciones ocultas. A pesar del alto grado de sofisticación, hasta ahora no se ha podido determinar la afiliación exacta de los operadores con algún grupo conocido de ciberdelincuencia.
La campaña detectada subraya la importancia de bloquear la ejecución de scripts no firmados, fortalecer el control sobre el comportamiento de los procesos del sistema, monitorizar los directorios de inicio automático y analizar la actividad de red sospechosa. Se recomienda prestar especial atención a restringir el uso de mshta.exe y a vigilar los intentos de descargar archivos en las carpetas %TEMP% y ProgramData.
Las huellas digitales son tu debilidad, y los hackers lo saben