Un troyano de acceso remoto (RAT) de «intrincado diseño» llamado Rata xeno se ha puesto a disposición en GitHub, poniéndolo a disposición de otros actores sin costo adicional.
Escrito en C# y compatible con los sistemas operativos Windows 10 y Windows 11, el RAT de código abierto viene con un «conjunto completo de funciones para la gestión remota del sistema», según su desarrollador, que se conoce con el nombre de moom825.
Incluye un proxy inverso SOCKS5 y la capacidad de grabar audio en tiempo real, además de incorporar una red informática virtual oculta (hVNC) módulo a lo largo de las líneas de oscurovncque permite a los atacantes obtener acceso remoto a una computadora infectada.
«Xeno RAT se desarrolló completamente desde cero, lo que garantiza un enfoque único y personalizado para las herramientas de acceso remoto», dijo el desarrollador. estados en la descripción del proyecto. Otro aspecto destacable es que cuenta con un constructor que permite la creación de variantes personalizadas del malware.
Vale la pena señalar que moom825 también es el desarrollador de otro RAT basado en C# llamado DiscordRAT 2.0que ha sido distribuido por actores de amenazas dentro de un paquete npm malicioso llamado node-hide-console-windows, como lo reveló ReversingLabs en octubre de 2023.
La empresa de ciberseguridad Cyfirma, en un informe publicado la semana pasada, dijo que observó que Xeno RAT se difundía a través de la red de entrega de contenido (CDN) de Discord, lo que subraya una vez más cómo un aumento de malware asequible y de libre acceso está impulsando un aumento en las campañas que utilizan RAT.
«El vector principal en forma de archivo de acceso directo, disfrazado de captura de pantalla de WhatsApp, actúa como un descargador», afirma la empresa. dicho. «El programa de descarga descarga el archivo ZIP de Discord CDN, lo extrae y ejecuta la carga útil de la siguiente etapa».
La secuencia de varias etapas aprovecha una técnica llamada carga lateral de DLL para iniciar una DLL maliciosa y, al mismo tiempo, toma medidas para establecer persistencia y evadir el análisis y la detección.
El desarrollo se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló el uso de una variante de Gh0st RAT llamada Nood RAT que se utiliza en ataques dirigidos a sistemas Linux, lo que permite a los adversarios recopilar información confidencial.
«Nood RAT es un malware de puerta trasera que puede recibir comandos del servidor C&C para realizar actividades maliciosas como descargar archivos maliciosos, robar archivos internos del sistema y ejecutar comandos», ASEC dicho.
«Aunque su forma es simple, está equipada con la función de cifrado para evitar la detección de paquetes de red y puede recibir comandos de actores de amenazas para llevar a cabo múltiples actividades maliciosas».