Figura 1: Logo de Frutas R.A.T. |
Hace un tiempo se ha anunciado desde Symantec el descubrimiento de un nuevo troyano, denominado Frutas, que hace las veces de RAT(Remote Access Tool). Creado con un origen hispano, esta herramienta de control remoto está desarrollada íntegramente en Java, lo cual la convierte en una amenaza multiplataforma: todos los sistemas operativos, incluyendo Windows, Linux y OS X, serán propicios para llevar su propagación y acciones maliciosas por parte de los atacantes. Como curiosidad indicar que cada nueva versión recibe la denominación de un tipo de fruta.
Figura 2: Creación de un backdoor server con Frutas R.A.T. |
El funcionamiento es sencillo. El troyano es un archivo JAR que cuando es ejecutado en el equipo de la víctima, crea un servidor que construye una puerta trasera parseando un fichero de configuración con dirección IP y puerto. Dicha backdoor permite a los atacantes llevar a cabo una gran variedad de acciones: entre otras cosas, explorar los archivos del sistema, matar procesos, hacer saltar un pop-up, descargar y ejecutar ficheros, manejar el navegador e incluso forzar una denegación de servicio. En otras palabras, otorga a los atacantes el control total del equipo de la víctima.
Figura 3: Panel de control de Frutas R.A.T. |
Frutas es una herramienta de origen español y aunque su uso todavía no es demasiado frecuente, ya es detectable por más de una veintena de antivirus. Para evitar que se descubra, los delincuentes suelen recurrir a las redes sociales para su propagación, debido a sus laxas medidas de seguridad. Facebook, por ejemplo, no detecta el archivo JAR, así que haciendo un poco de ingeniería social (no muy sofisticada, dicho sea de paso), consiguen un gran número de descargas. En casos como estos, conviene recordar que la mejor defensa contra este tipo de amenazas es el sentido común, y que no es recomendable descargar archivos si no conocemos su procedencia, por mucho que prometan grandes ventajas.
Figura 4: Distribución de Frutas R.A.T. a través de Facebook |
Si eres usuario de OS X ten en cuenta que las amenazas existen y están en Internet. De esta forma tan sencilla se puede infectar sistemas operativos de Apple y gracias a vías como Facebook se dispone de un canal de distribución que llega a millones de usuarios en un corto período de tiempo. Recuerda que si ves alguna promoción con enlace externo en sitios como Facebook y detectas que un JAR puede ser ejecutado ten cuidado.
No hay comentarios:
Publicar un comentario