¿Qué es un troyano de acceso remoto (RAT)?

¿Qué es un troyano de acceso remoto?

Un troyano de acceso remoto (RAT) es un tipo de malware que permite a un agente de amenazas ejecutar comandos en un sistema infectado desde una ubicación remota, sin necesidad de acceso físico para controlar el sistema. Las RAT constituyen una puerta trasera a un sistema y son herramientas prácticas para robar información como archivos, pulsaciones de teclas, contraseñas, capturas de pantalla y vídeo o audio de cámaras web, y pueden aprovecharse para realizar otros ataques, como el movimiento lateral a través de una red y para importar malware adicional con capacidades ampliadas, como el ransomware.

El malware RAT puede infectar cualquier dispositivo con acceso a la red, incluidos ordenadores de sobremesa y portátiles, teléfonos móviles, tabletas, dispositivos IoT, periféricos como impresoras, faxes, productos de seguridad doméstica y dispositivos domésticos inteligentes, y puede estar diseñado para cualquier sistema operativo estándar. Algunas RAT son malware diseñado específicamente, pero muchas herramientas de administración de red legítimas destinadas a operaciones de red legítimas también se pueden utilizar como RAT, ya que ofrecen capacidades de control remoto del sistema.

Las RAT son una subcategoría del malware troyano. Los troyanos son aplicaciones ejecutables, documentos o archivos con código ejecutable incrustado que aparecen como funciones típicas e inocuas. Los troyanos contienen componentes maliciosos ocultos que infectan o dañan el dispositivo del objetivo.

Cómo funcionan los troyanos de acceso remoto

Los archivos troyanizados suelen presentarse como aplicaciones de software legítimas o pirateadas, documentos de Microsoft Office o archivos comprimidos (normalmente .zip o .rar) y se incluyen en campañas de ingeniería social para atraer a los objetivos a abrirlos. En algunos casos, un archivo troyanizado puede utilizar una extensión de archivo falsa u ofuscada para aparecer como un archivo de imagen y atravesar los cortafuegos que filtran los archivos de alto riesgo. Los troyanos pueden distribuirse a través de campañas de phishing o malspam o facilitarse para su descarga en sitios web maliciosos e incluso legítimos. También pueden instalarse a través de vectores de ataque como el aprovechamiento de vulnerabilidades, el acceso físico directo o la entrega de una llave USB como cebo.

Una vez que el objetivo ha infectado involuntariamente su dispositivo, la RAT genera un nuevo proceso malicioso o secuestra un proceso legítimo para eludir la detección e inicia una conexión con un servidor remoto de mando y control (C2). Una vez que la RAT ha establecido una conexión con el C2 del atacante, puede descargar y ejecutar automáticamente código adicional, dependiendo de las especificaciones del sistema del objetivo, u ofrecer al atacante acceso manual para ejecutar comandos shell.

Las RAT suelen ir acompañadas de un archivo ejecutable, como un archivo .exe, pero algunas incluyen malware sin archivo que sólo existe como un proceso en la memoria RAM para mayor sigilo. Si una RAT puede establecer persistencia, se ejecutará cada vez que se reinicie el sistema infectado. El grado de control que una RAT tiene sobre el host infectado viene determinado por su nivel de permisos en tiempo de ejecución. Si la RAT se ejecuta con privilegios de nivel de usuario, sólo puede realizar acciones que el usuario permita. Sin embargo, si la RAT se ejecuta con privilegios de nivel de sistema (por ejemplo, permisos de administrador, admin o root) o puede obtenerlos de otro modo mediante una explotación posterior, el atacante tendrá un alcance de ataque casi ilimitado.

Cómo prevenir un ataque de troyanos de acceso remoto

Hay varias formas de reducir el riesgo de infección por una RAT u otro malware troyano. La mejor forma es ejecutar o abrir únicamente archivos de una fuente conocida y de confianza. Esto significa ejecutar únicamente software que proceda directamente del proveedor oficial o de una tienda oficial de aplicaciones. La misma precaución está justificada para los documentos que llegan como adjuntos de correo electrónico o están disponibles para su descarga. En algunos casos, la configuración de reglas estrictas de cortafuegos puede reducir las posibilidades de infección o puede utilizarse para bloquear la comunicación de una RAT con su servidor C2, pero no siempre es una estrategia defensiva eficaz, ya que los atacantes pueden encontrar formas de eludir estas reglas.

La instalación, configuración y actualización frecuente de software de seguridad para puntos finales proporciona protección adicional contra el malware RAT.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD^® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse frente a los ataques de malware. CylanceGUARD combina la amplia experiencia de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT^®y la detección y corrección de amenazas en el dispositivo mediante CylanceOPTICS^®. En resumen, CylanceGUARD proporciona a las empresas el personal y la tecnología necesarios para protegerlas del panorama moderno de amenazas.

SABER MÁS

Más recursos

Troyano de acceso remoto (RAT)