Cerberus – Remote RAT

Cerberus – Remote RAT

Control remoto desde internet
Control remoto vía SMS
Alertas automáticas personalizadas con AutoTask

Funciones

Ubica tus dispositivos en el mapa
Inicia alarmas
Bloquea y borra los datos
Fotografía al presunto ladrón
Guarda copias de seguridad
Soporte para Android Wear
>_
Consola remota de comandos
¡y mucho más!

Descarga

https://www.cerberusapp.com/downloads

TORAT

TORAT

Una herramienta de administración remota multiplataforma está escrita en Go usando Tor como su mecanismo de transporte actualmente compatible con clientes Windows, Linux, MacOS.

Características actuales
ToRAT_client se comunica a través de TCP (con TLS) a través de Tor con el servidor ToRat (servicio oculto)
El anonimato de cliente y servidor.
encriptado de fin a fin
Shell inverso multiplataforma (Windows, Linux, Mac OS)
Windows:
Bypasses de control de cuentas de usuarios múltiples (escalada de privilegios)
Métodos de persistencia múltiple (usuario, administrador)
Linux:
Métodos de persistencia múltiple (usuario, administrador)
transporte opcional sin Tor, por ejemplo, use Tor2Web, un nombre de host DNS o IP pública / local
binario más pequeño
El anonimato de cliente y servidor.
Tor incrustado
ID persistente única para cada cliente
dar a un cliente un alias
todas las descargas del cliente se guardan en ./$ID/$nombre de archivo
Servidor Shell
Soporta múltiples conexiones
Banner de bienvenida
Salida de color
Ficha-Compleción de:
Comandos
Archivos / Directorios en el directorio de trabajo del servidor.
Mando Información
seleccionar Seleccione cliente para interactuar con
lista listar todos los clientes conectados
alias Seleccione cliente para dar un alias
discos compactos cambiar el directorio de trabajo del servidor
salida salir del servidor
Shell después de la selección de un cliente
Ficha-Compleción de:
Comandos
Archivos / Directorios en el directorio de trabajo del cliente.
Mando Información
discos compactos Cambiar el directorio de trabajo del cliente.
Listar el contenido del directorio de trabajo del cliente.
Desgarrar borrar archivos / directorios irrecuperables
Remover igual que shred + elimina los archivos triturados
Pantalla tomar una captura de pantalla del cliente
Gato ver archivos de texto desde el cliente incluyendo .docx, .rtf, .odt
Alias dar al cliente un alias personalizado
Abajo descargar un archivo desde el cliente
Arriba subir un archivo al cliente
Escapar escapar de un comando y ejecutarlo en un shell nativo en el cliente
reconectarse decirle al cliente que vuelva a conectarse
salida sesión actual de fondo y un retorno a la shell principal
más El comando se ejecutará en un shell nativo en el cliente.

https://github.com/lu4p/ToRat/wiki/Setup

CrossRAT, una APT multiplataforma

CrossRAT, una APT multiplataforma

Cada vez es más común la proliferación del malware multiplataforma, creado para dañar a las víctimas independientemente del sistema operativo utilizado. Aquí es importante llamar la atención de los usuarios de macOS y Linux, ya que tienen la tendencia de sobrestimar la seguridad ofrecida por los sistemas operativos que utilizan.

Lookout y la Electronic Frontier Foundation descubrieron la semana pasada la existencia de una nueva Amenaza Avanzada Persistente (APT) presuntamente patrocinada por un estado y llamado Dark Caracal, dedicada sobre todo al espionaje. Sus actividades se remontan al año 2012, ha actuado en 21 países y se ha centrado sobre todo en las plataformas móviles, quizá por la gran cantidad de dispositivos Android sin soporte que siguen en funcionamiento.

Sin embargo, parece que no solo contra dispositivos móviles actúa la APT Dark Caracal, ya que recientemente parece que ha desarrollado un troyano de acceso remoto (RAT en sus siglas en inglés) multiplataforma llamado CrossRAT. La versión conocida de este malware es la 0.1, por lo que podría estar en una fase temprana de su desarrollo, es indetectable y puede infectar a Windows, macOS, Linux y Solaris. Según Objective-See, entre las acciones maliciosas que puede llevar a cabo se encuentran la poder acceder de forma remota para manipular ficheros del sistema, tomar capturas de pantalla, poner en funcionamiento ejecutables arbitrarios y tener acceso persistente en el dispositivo infectado.

Los investigadores dicen que Dark Caracal no se apoya en ninguna vulnerabilidad Zero-Day para distribuir CrossRAT, sino que utiliza ingeniería social básica a través de grupos de Facebook y mensajes de WhatsApp, intentando hacer que las víctimas visiten sitios web falsos controlados por los hackers y haciendo que descarguen aplicaciones maliciosas. CrossRAT está construido con Java, por lo que es fácil decompilarlo y hacer una ingeniería inversa sobre él. Por otro lado, en estos instantes y según VirusTotal, solo 621 de los 59 antimalware más populares son capaces de detectarlo.

Cuando CrossRAT entra en ejecución, implanta un fichero llamado hmar6.jar para comprobar el sistema operativo utilizado y terminar el proceso de instalación correctamente. Luego intenta reunir información sobre el sistema infectado, incluyendo la versión, la arquitectura y la compilación del kernel. En sistemas Linux que usan systemd se dedica a consultar los ficheros del init para determinar la distribución. Si tenemos en cuenta que la mayoría de las distribuciones populares, incluidas Ubuntu, Fedora, openSUSE, RHEL 7, Arch Linux, Mageia y Manjaro, utilizan systemd, se puede decir que a nivel de escritorio puede impactar a más del 90% de las instalaciones en funcionamiento.

CrossRAT implementa mecanismos persistentes específicos para cada sistema operativo que se ejecutan una o más veces para provocar un reinicio y registrar el ordenador infectado al servidor de mando y control de Dark Caracal, permitiendo a los atacantes a partir de ahí enviar órdenes y extraer datos, cosas que muestran que el malware fue creado con propósito de vigilancia. Se conecta al dominio flexberry.com a través del puerto 2223.

No se trata, al menos aparente, de un malware complejo o revolucionario desde el punto de vista técnico, ya que para registrar las pulsaciones del teclado y los eventos del ratón utiliza jnativehook, una biblioteca Open Source. Sin embargo, sí sorprende que no tenga ninguna orden predefinida para activar el mencionado keylogger, por lo que la característica no puede ser activada, al menos fácilmente, desde el servidor de mando y control, algo que puede justificarse en que todavía se encuentra en una fase temprana de su desarrollo.

Cómo comprobar si el sistema está infectado por CrossRAT

En primer lugar, es importante tener en cuenta que tener la máquina virtual de Java instalada es imprescindible para poner en ejecución CrossRAT (CUIADO / here / password: infect3d). Estos son los pasos a seguir para comprobar si CrossRAT está instalado en cada uno de los sistemas mayoritarios. 

Windows:

  • Comprobar la clave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
  • En caso de estar infectado, tendría que aparecer una orden en la que se pueden ver las palabras java, -jar y mediamgrs.jar.

macOS:

  • Comprobar si el fichero mediamgrs.jar está en el directorio ~/Library, además de los subdirectorios /Library/LaunchAgents y ~/Library/LaunchAgents para comprobar la presencia del fichero mediamgrs.plist.

Linux:

  • Comprobar si el fichero mediamgrs.jar está en el directorio /usr/var, además del subdirectorio ~/.config/autostart para comprobar la presencia del fichero mediamgrs.desktop.

Fuente: The Hacker News

México detecta RAT espia de Corea del Norte

México detecta RAT espia de Corea del Norte

La Procuraduría General de la República (PGR – México) detectó un software malicioso de origen norcoreano utilizado para la extracción de información y control de equipos.

De manera coordinada, la dependencia unió trabajos con el FBI para identificar en la infraestructura del ciberespacio mexicano. El RAT denominado FALLCHILL, ya había sido identificado en noviembre pasado en Estados Unidos.

Derivado de la colaboración se logró ubicar que el software malicioso se encontraba alojado en equipos de cómputo pertenecientes a una empresa privada de telecomunicaciones, que radica en la Ciudad de México (omitiré el nombre), por lo que se llevaron a cabo acciones para establecer las medidas necesarias para atender el incidente.

Este RAT es capaz de realizar la extracción de información de los discos duros en el sistema infectado; crear, iniciar y terminar procesos nuevos en el sistema; buscar, leer, escribir, mover y ejecutar archivos; modificar sus fechas de acceso y modificación; así como auto eliminarse del sistema infectado una vez cumplidos sus objetivos.

Resultado de imagen para rat troyano como es

Para evitar más daños por el FALLCHILL, la PGR y personal del FBI, aislaron los servidores vulnerables de la red de Internet con lo que se impidió la propagación del software a través del ciberespacio.

La inteligencia estadounidense sospecha que el malware es operado por la fuerza militar informática norcoreana, mejor conocida como el grupo Lazarus, considerado el responsable del hackeo masivo a Sony en 2014 y del ransomware Wannacry. Mientras tanto, 38North, un sitio web dedicado al análisis de datos de Corea del Norte (Johns Hopkins School of Advanced International Studies), ha estado negando la participación del país en el ataque ransomware WannaCry.

 

Fuente: Contramuro