RevengeRAT y WSHRAT roban información en navegadores WEB

18 Noviembre 2019
Alto

Investigadores de Fortinet descubrieron una nueva campaña que utiliza dos troyanos RAT (Remote Access Trojan) para poder robar información de navegadores Chrome y Firefox.

RevengeRAT ejecuta una serie de scripts en Powershell para no ser detectado. Una vez infectada la máquina, se establece una conexión hacia servidores C&C y recopila la información de la víctima. Los 2 servidores asociados a RevengeRAT fueron cerrados durante el análisis.

WSHRAT utiliza el mismo código que utiliza RevengeRAT para descargar el malware, pero con un payload diferente codificado en base-64. Se confirma que tiene 29 funciones para realizar diferentes tareas que incluyen evasión, persistencia y procesamiento de datos para robo y exfiltración. El objetivo de WSHRAT es la de robar información de navegadores Chrome y Firefox, incluyendo el software FoxMAIL.

Se recomienda lo siguiente:

  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #RevenegeRAT #WSHRAT #RAT #C&C #Chrome #Firefox #Troyano


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.