Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo RAT STX usa escritorio remoto oculto y funciones de robo de datos para evadir detección


Un troyano de acceso remoto recientemente descubierto, llamado STX RAT, ha surgido como una grave amenaza cibernética en 2026, combinando acceso oculto a escritorio remoto con funciones de robo de credenciales para comprometer sigilosamente máquinas objetivo. El malware recibe su nombre del byte mágico Start of Text (STX) \x02 que antepone a cada mensaje enviado a su servidor de comando y control (C2)



Un troyano de acceso remoto recién descubierto llamado STX RAT ha surgido como una grave amenaza de ciberseguridad en 2026, combinando acceso oculto a escritorio remoto con funciones de robo de credenciales para comprometer sigilosamente máquinas objetivo. El malware recibe su nombre del byte mágico Start of Text (STX) \x02 que antepone a cada mensaje enviado a su servidor de comando y control (C2), un marcador sutil de la precisión detrás de su diseño. El malware fue observado por primera vez a finales de febrero de 2026, cuando los atacantes intentaron distribuirlo dentro de una organización del sector financiero a través de un archivo VBScript descargado por el navegador. Ese script soltó un archivo JScript, que obtuvo un archivo TAR y pasó la ejecución a un cargador de PowerShell que inyectó la carga útil final en la memoria. A principios de marzo, Malwarebytes informó de una campaña separada que propagaba STX RAT a través de instaladores de FileZilla troyanizados, confirmando que los operadores ya estaban ejecutando múltiples métodos de entrega simultáneamente.
VBScript que escribe - lanza JScript en WScript elevado (Fuente - eSentire)
VBScript que escribe – lanza JScript en WScript elevado (Fuente – eSentire)
Los investigadores de la Unidad de Respuesta a Amenazas (TRU) de eSentire identificaron y analizaron el malware tras el incidente de finales de febrero, rastreándolo como STX RAT. Su investigación reveló un implante técnicamente sofisticado con extensas defensas anti-análisis, incluyendo comprobaciones de artefactos para entornos VirtualBox, VMware y QEMU. Cuando se detectan tales artefactos, el malware realiza una "salida con fluctuación" —pausando durante un retraso aleatorio antes de terminar— lo que dificulta su estudio en entornos de sandbox automatizados. Además de la detección de VM, STX RAT utiliza una técnica de AMSI-ghosting que parchea una función RPC central de Windows, deshabilitando una capa de herramientas de seguridad que dependen para escanear procesos en ejecución. Oculta su ventana de terminal del conmutador Alt+Tab y la barra de tareas. Una vez activo, el implante contacta con un C2 en 95.216.51.236 y envía un mensaje de introducción que contiene el nombre del host, el nombre de usuario, la versión del sistema operativo, el estado de administrador, la RAM instalada y una lista de productos antivirus detectados. Todo el tráfico C2 está asegurado mediante un intercambio de claves ECDH utilizando X25519 y cifrado autenticado ChaCha20-Poly1305, haciendo que el descifrado sin las claves de sesión sea altamente improbable. El módulo de robo de información apunta a credenciales guardadas de FileZilla, WinSCP y Cyberduck —aplicaciones ampliamente utilizadas por desarrolladores y administradores de TI— y toma una captura de pantalla del escritorio antes de transmitir los datos robados, dando a los atacantes una visión directa de la máquina comprometida.

Control de Escritorio Remoto Oculto: Cómo STX RAT Toma el Control Silenciosamente

La característica más peligrosa en el conjunto de herramientas de STX RAT es su módulo Hidden Virtual Network Computing (HVNC), que proporciona a los actores de amenazas control interactivo completo de la máquina de una víctima sin que esta lo note. A diferencia del software de escritorio remoto convencional que toma visiblemente el control de la pantalla del usuario, HVNC crea una sesión de escritorio completamente separada ejecutándose en segundo plano. Toda la actividad del atacante —navegar por sitios web, abrir archivos, lanzar aplicaciones— ocurre dentro de esta capa invisible, completamente fuera de la vista de la víctima.
Intercambio de claves Diffie-Hellman (Fuente – eSentire)
STX RAT inicia HVNC a través de un comando start_hvnc enviado por el C2. Una vez activo, los atacantes pueden inyectar pulsaciones de teclas mediante key_press, simular movimientos del ratón con mouse_input, desplazarse por aplicaciones usando mouse_wheel y pegar contenido directamente con el comando paste —todo dependiendo de la API SendInput de Windows. Un comando switch_desktop permite a los operadores gestionar múltiples sesiones de escritorio ocultas al mismo tiempo, y cuando terminan, los comandos connection_lost y channel_closed cierran sesiones y limpian manejadores de escritorio sin dejar rastros. Esta arquitectura hace que STX RAT sea mucho más capaz que un típico ladrón de credenciales. Mientras la víctima continúa trabajando normalmente en su pantalla visible, un atacante puede iniciar sesión simultáneamente en plataformas internas, navegar por archivos sensibles o preparar cargas útiles adicionales dentro de la sesión oculta.

 Emparejado con el módulo de recolección de credenciales, HVNC convierte una brecha inicial en un punto de apoyo continuo que es tanto difícil de detectar como de eliminar por completo. Los equipos de seguridad deberían bloquear inmediatamente la conocida IP del C2 95.216.51.236 y la dirección Tor onion asociada en el perímetro de la red. Se recomienda desplegar reglas de detección YARA de la TRU de eSentire —que cubren tanto la carga útil desempaquetada como el cargador— para identificar infecciones en memoria. Monitorear ejecuciones elevadas de WScript que involucren archivos JScript en directorios Temp y ejecuciones sospechosas de PowerShell STDIN puede ayudar a detectar infecciones tempranas. Donde VBScript y JScript no sean operativamente necesarios, deshabilitarlos por completo puede reducir significativamente la superficie de ataque inicial.

Fuentes:
https://cybersecuritynews.com/new-stx-rat-uses-hidden-remote-desktop/



0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.