Investigadores de ciberseguridad han arrojado luz sobre un nuevo troyano de acceso remoto llamado No Euclides que permite a los malos actores controlar remotamente los sistemas Windows comprometidos.
“El troyano de acceso remoto (RAT) NonEuclid, desarrollado en C#, es un malware altamente sofisticado que ofrece acceso remoto no autorizado con técnicas avanzadas de evasión”, Cyfirma dicho en un análisis técnico publicado la semana pasada.
“Emplea varios mecanismos, incluida la omisión de antivirus, la escalada de privilegios, la antidetección y el cifrado de ransomware dirigido a archivos críticos”.
NonEuclid se anuncia en foros clandestinos desde al menos finales de noviembre de 2024, con tutoriales y debates sobre el malware descubierto en plataformas populares como Discord y YouTube. Esto apunta a un esfuerzo concertado para distribuir el malware como una solución de crimeware.
En esencia, RAT comienza con una fase de inicialización para una aplicación cliente, después de la cual realiza una serie de comprobaciones para evadir la detección antes de configurar un socket TCP para la comunicación con una IP y un puerto específicos.
También configura las exclusiones de Microsoft Defender Antivirus para evitar que la herramienta de seguridad marque los artefactos y controla procesos como “taskmgr.exe”, “processhacker.exe” y “procexp.exe”, que se utilizan a menudo para análisis y gestión de procesos.
“Utiliza llamadas API de Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) para enumerar procesos y comprobar si sus nombres ejecutables coinciden con los objetivos especificados”, dijo Cyfirma. “Si se encuentra una coincidencia, dependiendo de la configuración de AntiProcessMode, el proceso finaliza o se activa una salida para la aplicación cliente”.
Algunas de las técnicas antianálisis adoptadas por el malware incluyen comprobaciones para determinar si se está ejecutando en un entorno virtual o de espacio aislado y, si se descubre que es así, finalizar inmediatamente el programa. Además, incorpora funciones para omitir la interfaz de escaneo antimalware de Windows (AARMI).
Si bien la persistencia se logra mediante tareas programadas y cambios en el Registro de Windows, NonEuclid también intenta elevar los privilegios eludiendo las protecciones del Control de cuentas de usuario (UAC) y ejecutando comandos.
Una característica relativamente poco común es su capacidad para cifrar archivos que coincidan con ciertos tipos de extensión (por ejemplo, .CSV, .TXT y .PHP) y cambiarles el nombre con la extensión “. NonEuclid”, convirtiéndose efectivamente en ransomware.
“El NonEuclid RAT ejemplifica la creciente sofisticación del malware moderno, combinando mecanismos sigilosos avanzados, funciones antidetección y capacidades de ransomware”, afirmó Cyfirma.
“Su amplia promoción en foros clandestinos, servidores de Discord y plataformas de tutoriales demuestra su atractivo para los ciberdelincuentes y destaca los desafíos que supone combatir dichas amenazas. La integración de características como escalada de privilegios, derivación de AMSI y bloqueo de procesos muestra la adaptabilidad del malware para evadir medidas de seguridad.”
About the Author
