M\u00faltiples actores de amenazas, incluidos grupos de ciberespionaje, est\u00e1n empleando una herramienta de administraci\u00f3n remota de Android de c\u00f3digo abierto llamada rafael rata<\/strong> para cumplir sus objetivos operativos haci\u00e9ndose pasar por Instagram, WhatsApp y varias aplicaciones antivirus y de comercio electr\u00f3nico.<\/p>\n “Proporciona a los actores maliciosos un potente conjunto de herramientas para la administraci\u00f3n y el control remotos, lo que permite una variedad de actividades maliciosas, desde el robo de datos hasta la manipulaci\u00f3n de dispositivos”, Check Point dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n Cuenta con una amplia gama de funciones, como la capacidad de borrar tarjetas SD, eliminar registros de llamadas, desviar notificaciones e incluso actuar como ransomware.<\/p>\n El uso de Rafel RAT por parte de DoNot Team (tambi\u00e9n conocido como APT-C-35, Brainworm y Origami Elephant) fue destacado anteriormente por la compa\u00f1\u00eda israel\u00ed de ciberseguridad en ataques cibern\u00e9ticos que aprovecharon una falla de dise\u00f1o en Foxit PDF Reader para enga\u00f1ar a los usuarios para que descargaran cargas \u00fatiles maliciosas.<\/p>\n Se dice que la campa\u00f1a, que tuvo lugar en abril de 2024, utiliz\u00f3 se\u00f1uelos PDF con tem\u00e1tica militar para distribuir el malware.<\/p>\n Check Point dijo que identific\u00f3 alrededor de 120 campa\u00f1as maliciosas diferentes, algunas dirigidas a entidades de alto perfil, que abarcan varios pa\u00edses como Australia, China, Chequia, Francia, Alemania, India, Indonesia, Italia, Nueva Zelanda, Pakist\u00e1n, Rumania, Rusia y el A NOSOTROS<\/p>\n “La mayor\u00eda de las v\u00edctimas ten\u00edan tel\u00e9fonos Samsung, siendo los usuarios de Xiaomi, Vivo y Huawei el segundo grupo m\u00e1s grande entre las v\u00edctimas objetivo”, se\u00f1al\u00f3, a\u00f1adiendo que nada menos que el 87,5% de los dispositivos infectados ejecutan Android desactualizado. versiones que ya no reciben correcciones de seguridad.<\/p>\n Las cadenas de ataques t\u00edpicas implican el uso de ingenier\u00eda social para manipular a las v\u00edctimas para que otorguen permisos intrusivos a las aplicaciones con malware con el fin de aspirar datos confidenciales como informaci\u00f3n de contacto, mensajes SMS (por ejemplo, c\u00f3digos 2FA), ubicaci\u00f3n, registros de llamadas y la lista de aplicaciones instaladas. aplicaciones, entre otras.<\/p>\n Rafel RAT utiliza principalmente HTTP(S) para comunicaciones de comando y control (C2), pero tambi\u00e9n puede utilizar las API de Discord para contactar a los actores de amenazas. Tambi\u00e9n viene con un panel C2 basado en PHP que los usuarios registrados pueden aprovechar para emitir comandos a dispositivos comprometidos.<\/p>\n La efectividad de la herramienta entre varios actores de amenazas se ve corroborada por su implementaci\u00f3n en una operaci\u00f3n de ransomware llevada a cabo por un atacante probablemente originario de Ir\u00e1n, quien envi\u00f3 una nota de rescate escrita en \u00e1rabe a trav\u00e9s de un SMS que instaba a una v\u00edctima en Pakist\u00e1n a contactarlos en Telegram.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Multiples-actores-de-amenazas-implementan-Rafel-RAT-de-codigo-abierto.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n