Ha surgido una nueva campaña de spear-phishing conocida como Operación Poseidón, que explota la infraestructura publicitaria de Google para distribuir el malware EndRAT, eludiendo medidas de seguridad tradicionales. El ataque aprovecha dominios legítimos de seguimiento de clics en anuncios para ocultar URLs maliciosas, haciéndolas parecer tráfico publicitario confiable. Esta técnica logra burlar los filtros de seguridad en correos electrónicos y reduce la sospecha de los usuarios durante el proceso.

Los actores de amenazas están aprovechando una peligrosa nueva campaña que arma documentos de envío de apariencia ordinaria para distribuir Remcos, un potente troyano de acceso remoto. Este esquema de phishing utiliza correos electrónicos falsos de envío como punto de entrada, engañando a los usuarios para que abran documentos de Word maliciosos disfrazados de documentación de carga legítima. 

 

Una reciente campaña de AsyncRAT está utilizando los servicios de nivel gratuito de Cloudflare y los túneles TryCloudflare para ocultar actividades de acceso remoto dentro del tráfico en la nube que parece normal. En estos ataques, los actores de amenazas envían correos electrónicos de phishing que enlazan a un archivo ZIP alojado en Dropbox, nombrado para parecer una factura en alemán, engañando a los usuarios

Investigadores del Centro de Defensa Cibernética de Ontinue han descubierto una amenaza significativa: atacantes están utilizando Nezha, una herramienta legítima de monitoreo de servidores de código abierto, para acceder a sistemas comprometidos después de una explotación inicial. El descubrimiento revela cómo actores de amenazas sofisticados reutilizan software benigno para obtener control total sobre los sistemas comprometidos, al tiempo que evaden los mecanismos de detección de seguridad tradicionales. Nezha, originalmente desarrollada para la comunidad de TI china

Cellik representa una evolución significativa en las capacidades de los troyanos de acceso remoto (RAT) para Android, introduciendo funciones sofisticadas de control y vigilancia del dispositivo que antes estaban reservadas para spyware avanzado. Este RAT recientemente identificado combina el control total del dispositivo con una conexión integrada a la Google Play Store, lo que permite a los atacantes incrustar sin problemas código malicioso en aplicaciones legítimas. 

Familias de malware como Rhadamanthys Stealer, Venom RAT y la botnet Elysium han sido desarticuladas en el marco de una operación coordinada de las fuerzas del orden liderada por Europol y Eurojust.

 Investigadores de ESET Latinoamérica han descubierto una campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). Los atacantes utilizan documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, en la región.

Investigadores de ciberseguridad han descubierto una nueva campaña de malware que utiliza un cargador de shellcode basado en PowerShell para implementar un troyano de acceso remoto llamado Remcos RAT.

Microsoft alerta de un troyano que actúa desde Chrome en Windows con el objetivo de recopilar información sobre el equipo infectado y de robar criptomonedas y las credenciales de acceso almacenadas en el navegador de Google.

Los troyanos de acceso remoto (Remote Access Trojan), un tipo de malware con un comportamiento que puede llegar a ser bastante parecido al de las herramientas de administración remota legítimas, pero que como ya puedes imaginar es empleado con intenciones mucho menos saludables. Nerbian RAT está programado en Go, un lenguaje que está ganando mucha tracción también en el mundo de la ciberdelincuencia, y que está siendo empleado en campañas que apuntan a España, Italia y Reino Unido.

Advierten sobre un troyano de acceso remoto llamado DCRat (también conocido como DarkCrystal RAT) que está disponible para la venta en foros rusos de ciberdelincuencia.

En ThreatFabric analizan unas muestras de un nuevo troyano bancario para Android. Basándose en el panel de inicio de sesión del servidor C2, pudieron ver que fue llamado S.O.V.A. por sus propios creadores. Su objetivo son aplicaciones bancarias, carteras de criptomonedas y aplicaciones de compras. Los usuarios a los que va dirigido originalmente son usuarios de entidades de Estados Unidos y España.

 

 Investigadores de ciberseguridad dieron a conocer la interrupción de una red de publicidad maliciosa “inteligente” dirigida a AnyDesk que entregó un instalador armado del software de escritorio remoto a través de anuncios de Google no autorizados que aparecían en las páginas de resultados del motor de búsqueda.

Desde octubre de 2020, un grupo de actores maliciosos estaría distribuyendo el malware SolarMarker en plantillas gratuitas mediante redirecciones en Google. . La técnica consiste en crear páginas web de recursos profesionales útiles (plantillas de facturas, de presupuestos, escritos, etcétera) con los PDF, con la intención de que los usuarios crean que dichas páginas son fiables, así como su contenido, y los descarguen y abran, infectando así sus ordenadores.

Activision ha publicado un informe sobre Cod Dropper, donde alerta de la peligrosidad de un troyano de acceso remoto que se promociona como un programa de cheaters para el juego Call of Duty: Warzone. Activision explica que el malware es un RAT (troyano de acceso remoto) que otorga al atacante acceso completo a la máquina de la víctima.  Kaspersky descubrió en un estudio de 2020 que más del 61% de los jugadores informaron haber sido blanco de algún tipo de estafa, incluido el robo de identidad de alguna de su cuenta de juego

 

Implementando troyanos de acceso remoto (RAT) bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados, lo que destaca una vez más cómo los actores de amenazas cambian rápidamente de táctica cuando sus métodos de ataque se descubren y se exponen públicamente.

Arbitrium es un troyano multiplataforma, es un troyano de acceso remoto (RAT), totalmente indetectable (FUD), le permite controlar Android, Windows y Linux y no requiere excepciones de firewall o reenvío de puertos. Da acceso a las redes locales, puede usar los objetivos como un proxy HTTP y acceder al enrutador, descubrir direcciones IP locales y escanear sus puertos. Incluye módulos como Mimikatz, se pueden agregar fácilmente nuevos módulos. 

Los investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware de Android que se asoció con un segundo actor de amenazas para comercializar y vender una herramienta de acceso remoto (RAT) capaz de tomar el control del dispositivo y exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Mensajes de Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google.

Hay cinco personas detenidas, tres en España y dos en Reino Unido, todos ellos creadores y distribuidores de troyanos de control remoto, keyloggers y puertas traseras que permiten controlar los ordenadores de sus víctimas. Estos crypters proporcionaban “invisibilidad” al software malicioso y se comercializaban en los foros de hacking más famosos a nivel nacional e internacional, a cambio generalmente de pagos en bitcoins.

DroidJack es un troyano de acceso remoto (RAT - Remote Administration Tool) para sistemas Android como AndroRAT (Troyano para Android)  o Dendroid - Troyano para Android. Mientras que los desarrolladores aseguran que la herramienta ha sido desarrollada para poder proteger y controlar a seres queridos, muchos usuarios están haciendo mal uso de ella, violando la intimidad de otros usuarios y robando todo tipo de información de los dispositivos.