RevengeRAT y WSHRAT roban información en navegadores WEB

Investigadores de Fortinet descubrieron una nueva campaña que utiliza dos troyanos RAT (Remote Access Trojan) para poder robar información de navegadores Chrome y Firefox.

RevengeRAT ejecuta una serie de scripts en Powershell para no ser detectado. Una vez infectada la máquina, se establece una conexión hacia servidores C&C y recopila la información de la víctima. Los 2 servidores asociados a RevengeRAT fueron cerrados durante el análisis.

WSHRAT utiliza el mismo código que utiliza RevengeRAT para descargar el malware, pero con un payload diferente codificado en base-64. Se confirma que tiene 29 funciones para realizar diferentes tareas que incluyen evasión, persistencia y procesamiento de datos para robo y exfiltración. El objetivo de WSHRAT es la de robar información de navegadores Chrome y Firefox, incluyendo el software FoxMAIL.

Se recomienda lo siguiente:

• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
• Evitar instalar programas de sitios que no sean oficiales.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Tener activado el UAC (control de cuentas de usuario) de Windows.