R.A.T.
Las siglas se corresponden con Remote Acess Tool o concretamente en el caso que nos ocupa: Remote Access Trojan. Son aplicaciones que automatizan las principales funciones para el control de equipos remotos que han sido infectados con un troyano. De esta manera, es posible acceder a los ficheros y periféricos del equipo de forma transparente sin que el usuario se de cuenta.
Una cámara web o un micrófono pueden ser interceptados fácilmente y redirigidos al atacante por lo que una medida de seguridad básica es, como hace el Maligno, apagar o bloquear la cámara cuando no la tengas en uso. Por ello, además de las habituales precauciones para no ser infectado no está de más seguir unas costumbres saludables y evitarnos problemillas. Recuerda las principales medidas para evitar la infección por troyanos:
- Disponer de un programa antivirus actualizado regularmente para estar protegido contra las últimas amenazas.
- Disponer de un firewall correctamente configurado, algunos antivirus lo traen integrado.
- Tener instalados los últimos parches y actualizaciones de seguridad del sistema operativo.
- Descargar los programas siempre de las páginas web oficiales o de páginas web de confianza.
- No abrir los datos adjuntos de un correo electrónico si no conoces al remitente.
- Evitar la descarga de software de redes p2p
Como muestra del uso masivo de estos ataques podemos ver el documento publicado con el nombre de la Operación Shady RAT que muestra el proceso de infección más habitual que resumo a continuación:
1.- Se envía un correo a personas previamente seleccionadas con un contenido atractivo para que el usuario abra los archivos adjuntos. Se seleccionaron documentos de Office y PDF maliciosos especialmente diseñados para explotar vulnerabilidades. Estos archivos contienen un troyano que se instala en el equipo con software vulnerable.
2.- El troyano contacta a un sitio en Internet cuyo contenido son imágenes (para que pase sin problemas por un firewall). Estas imágenes tienen instrucciones escondidas (usando esteganografía) que el troyano recibe y le dice cómo proceder.
3.- El troyano abre una sesión vía red hacia el equipo del atacante con el fin de que se tome control de la máquina víctima y poder así instalar software adicional y bajar/subir archivos entre otras acciones.