Los actores de amenazas que operan bajo el nombre de Anonymous Arab han lanzado un troyano de acceso remoto (RAT) llamado RATA plateada que está equipado para eludir el software de seguridad e iniciar sigilosamente aplicaciones ocultas.
«Los desarrolladores operan en múltiples foros de hackers y plataformas de redes sociales, mostrando una presencia activa y sofisticada», dijo la firma de ciberseguridad Cyfirma. dicho en un informe publicado la semana pasada.
Los actores, considerados de origen sirio y vinculados al desarrollo de otro RAT conocido como S500 RAT, también gestionan un canal de Telegram que ofrece diversos servicios, como la distribución de RAT crackeados, bases de datos filtradas, actividades de tarjetas y la venta de Facebook y X (anteriormente Twitter) bots.
Luego, otros ciberdelincuentes utilizan los robots de redes sociales para promover diversos servicios ilícitos interactuando y comentando automáticamente el contenido de los usuarios.
Las detecciones en estado salvaje de Silver RAT v1.0 se observaron por primera vez en noviembre de 2023, aunque los planes del actor de amenazas para liberar el troyano se hicieron oficiales por primera vez un año antes. Fue descifrado y filtrado en Telegram alrededor de octubre de 2023.
El malware basado en C# cuenta con una amplia gama de funciones para conectarse a un servidor de comando y control (C2), registrar pulsaciones de teclas, destruir puntos de restauración del sistema e incluso cifrar datos mediante ransomware. También hay indicios de que se está trabajando en una versión de Android.
«Mientras generan una carga útil utilizando el constructor de Silver RAT, los actores de amenazas pueden seleccionar varias opciones con un tamaño de carga útil de hasta un máximo de 50 kb», señaló la compañía. «Una vez conectada, la víctima aparece en el panel Silver RAT controlado por el atacante, que muestra los registros de la víctima según las funcionalidades elegidas».
Una característica de evasión interesante integrada en Silver RAT es su capacidad de retrasar la ejecución de la carga útil en un momento específico, así como iniciar aplicaciones de forma encubierta y tomar el control del host comprometido.
Un análisis más detallado de la huella en línea del autor del malware muestra que uno de los miembros del grupo probablemente tenga veintitantos años y esté radicado en Damasco.
«El desarrollador […] parece apoyar a Palestina basándose en sus publicaciones en Telegram, y los miembros asociados con este grupo están activos en varios ámbitos, incluidas las redes sociales, plataformas de desarrollo, foros clandestinos y sitios web Clearnet, lo que sugiere su participación en la distribución de diversos programas maliciosos», dijo Cyfirma.