Actores de amenazas motivados financieramente usan el Klingon RAT

Los ciberdelincuentes y los desarrolladores de malware experimentan con todo tipo de trucos e innovaciones para intentar hacer que sus implantes u operaciones sean más difíciles de detectar. Durante los últimos tres años, ha habido una afluencia de malware de nueva creación que se desarrolló utilizando el lenguaje Google Go (Golang). Golang, similar al lenguaje de programación C, es el preferido por los ciberdelincuentes por una única razón: podría ayudarlos a confundir herramientas de seguridad automáticas y engañarlos para que permitan la ejecución de código malicioso. Una de las nuevas amenazas que abusa del uso de Golang se llama Klingon RAT (Troyano de acceso remoto).

Klingon RAT personalizado utilizado para robar información financiera

Los creadores de Klingon RAT parecen usarlo de forma privada y es poco probable que lo compartan con otras organizaciones de delitos informáticos. El propósito principal de Klingon RAT es obtener datos financieros del sistema comprometido y, eventualmente, permitir que los operadores roben dinero o realicen transacciones fraudulentas. El Klingon RAT también posee la capacidad de terminar funciones de seguridad específicas de Windows, así como los procesos de algunas herramientas antivirus. Desafortunadamente, no hay suficiente información sobre los trucos y métodos exactos que se utilizan para propagar la carga útil de Klingon RAT.

Una vez que Klingon RAT se infiltra con éxito en un sistema, colocará sus archivos en la subcarpeta% APPDATA%. Algunas instancias de la RAT parecen ocultar sus componentes mediante el uso de nombres que suenan legítimos como "actualizador10.exe". Luego, la amenaza gana persistencia al configurar las claves de ejecución del registro o al crear una nueva tarea programada.

Una de las cosas peculiares de Klingon RAT es que abusa de múltiples vulnerabilidades conocidas para eludir el Control de cuentas de usuario de Windows (UAC): comienza con el método más popular para hacerlo y luego pasa al siguiente exploit si el anterior falla. La funcionalidad de Klingon RAT no es espectacular en comparación con los troyanos comerciales de acceso remoto. Sus operadores pueden ejecutar comandos de PowerShell a través de privilegios escalados, actualizar la carga útil, abrir una conexión de escritorio remoto o implementar malware adicional. Esto es más que suficiente para ayudar a los delincuentes a alcanzar sus objetivos.

Tome medidas preventivas para protegerse del Klingon RAT mediante el uso de un paquete de software anti-malware y servicios de firewall de buena reputación. Además, familiarícese con los consejos más generales de navegación web segura, que pueden ayudarle a evitar archivos y sitios web potencialmente dañinos.