Investigadores de ciberseguridad han arrojado luz sobre un nuevo troyano de acceso remoto llamado No Euclides<\/strong> que permite a los malos actores controlar remotamente los sistemas Windows comprometidos.<\/p>\n “El troyano de acceso remoto (RAT) NonEuclid, desarrollado en C#, es un malware altamente sofisticado que ofrece acceso remoto no autorizado con t\u00e9cnicas avanzadas de evasi\u00f3n”, Cyfirma dicho<\/a> en un an\u00e1lisis t\u00e9cnico publicado la semana pasada.<\/p>\n “Emplea varios mecanismos, incluida la omisi\u00f3n de antivirus, la escalada de privilegios, la antidetecci\u00f3n y el cifrado de ransomware dirigido a archivos cr\u00edticos”.<\/p>\n NonEuclid se anuncia en foros clandestinos desde al menos finales de noviembre de 2024, con tutoriales y debates sobre el malware descubierto en plataformas populares como Discord y YouTube. Esto apunta a un esfuerzo concertado para distribuir el malware como una soluci\u00f3n de crimeware.<\/p>\n En esencia, RAT comienza con una fase de inicializaci\u00f3n para una aplicaci\u00f3n cliente, despu\u00e9s de la cual realiza una serie de comprobaciones para evadir la detecci\u00f3n antes de configurar un socket TCP para la comunicaci\u00f3n con una IP y un puerto espec\u00edficos.<\/p>\n Tambi\u00e9n configura las exclusiones de Microsoft Defender Antivirus para evitar que la herramienta de seguridad marque los artefactos y controla procesos como “taskmgr.exe”, “processhacker.exe” y “procexp.exe”, que se utilizan a menudo para an\u00e1lisis y gesti\u00f3n de procesos.<\/p>\n “Utiliza llamadas API de Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) para enumerar procesos y comprobar si sus nombres ejecutables coinciden con los objetivos especificados”, dijo Cyfirma. “Si se encuentra una coincidencia, dependiendo de la configuraci\u00f3n de AntiProcessMode, el proceso finaliza o se activa una salida para la aplicaci\u00f3n cliente”.<\/p>\n Algunas de las t\u00e9cnicas antian\u00e1lisis adoptadas por el malware incluyen comprobaciones para determinar si se est\u00e1 ejecutando en un entorno virtual o de espacio aislado y, si se descubre que es as\u00ed, finalizar inmediatamente el programa. Adem\u00e1s, incorpora funciones para omitir la interfaz de escaneo antimalware de Windows (AARMI<\/a>).<\/p>\n Si bien la persistencia se logra mediante tareas programadas y cambios en el Registro de Windows, NonEuclid tambi\u00e9n intenta elevar los privilegios eludiendo las protecciones del Control de cuentas de usuario (UAC) y ejecutando comandos.<\/p>\n Una caracter\u00edstica relativamente poco com\u00fan es su capacidad para cifrar archivos que coincidan con ciertos tipos de extensi\u00f3n (por ejemplo, .CSV, .TXT y .PHP) y cambiarles el nombre con la extensi\u00f3n “. NonEuclid”, convirti\u00e9ndose efectivamente en ransomware.<\/p>\n “El NonEuclid RAT ejemplifica la creciente sofisticaci\u00f3n del malware moderno, combinando mecanismos sigilosos avanzados, funciones antidetecci\u00f3n y capacidades de ransomware”, afirm\u00f3 Cyfirma.<\/p>\n “Su amplia promoci\u00f3n en foros clandestinos, servidores de Discord y plataformas de tutoriales demuestra su atractivo para los ciberdelincuentes y destaca los desaf\u00edos que supone combatir dichas amenazas. La integraci\u00f3n de caracter\u00edsticas como escalada de privilegios, derivaci\u00f3n de AMSI y bloqueo de procesos muestra la adaptabilidad del malware para evadir medidas de seguridad.”<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-investigadores-exponen-RAT-no-Euclid-utilizando-tecnicas-de-derivacion.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n