Una nueva variante del malware LodaRAT se dirige activamente a los usuarios de Windows de todo el mundo en una campaña en curso para robar información confidencial, como credenciales de inicio de sesión y cookies del navegador.
Los investigadores de ciberseguridad de Rapid7 han descubierto la última versión de un troyano de acceso remoto (RAT) que ha estado en circulación desde 2016.
La versión actualizada de LodaRAT muestra capacidades mejoradas para extraer cookies y contraseñas de navegadores web populares como Microsoft Edge y Brave, entre otros.
Esto representa una evolución significativa desde su propósito original de recopilación de información, con el malware ahora equipado con una amplia gama de capacidades como exfiltración de datos, entrega de malware adicional, captura de pantalla e incluso control de la cámara y el mouse de la víctima.
A diferencia de las versiones anteriores que dependían de correos electrónicos de phishing y la explotación de vulnerabilidades conocidas, las nuevas muestras de LodaRAT se distribuyen a través de medios más sofisticados. Los investigadores de Rapid7 observaron que este malware se implementaba a través de DonutLoader y CobaltStrike, dos conocidas herramientas de distribución de malware.
Además, LodaRAT también se ha encontrado en sistemas infectados con otras familias de malware como AsyncRAT, Remcos y Xworm, aunque la relación exacta entre estas infecciones aún no está clara.
Si bien las campañas anteriores de LodaRAT se dirigieron a países y organizaciones específicos, el alcance de los ataques actuales parece ser mucho más amplio.
Victimología (Fuente – Rapid7)
Se han identificado víctimas en todo el mundo y aproximadamente el 30% de las muestras cargadas en VirusTotal provienen de Estados Unidos. Este cambio en la estrategia de focalización podría indicar un cambio en los objetivos del actor de la amenaza, o podría indicar que varios grupos ahora están aprovechando el código base de LodaRAT.
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
análisis técnico
LodaRAT utiliza varias técnicas en tiempo de ejecución para establecer persistencia en sistemas infectados. Estos métodos incluyen:
Agregue entradas a la clave de ejecución del Registro de Windows. Cree una tarea programada para ejecutar el malware a intervalos regulares. Suplante el software legítimo como Discord, Skype, Windows Update, etc.
El malware realiza un reconocimiento inicial del sistema infectado y recopila información como la versión del sistema operativo, privilegios de usuario, estado del antivirus y detalles del hardware.
Estos datos se envían a un servidor de comando y control (C2), lo que permite a los atacantes adaptar su enfoque a cada víctima.
Las capacidades de LodaRAT han crecido significativamente desde sus inicios. Las principales características de la última versión son:
Descargar y ejecutar cargas útiles adicionales Ejecutar comandos remotos Control de mouse y teclado Captura de pantalla y acceso a cámara web Robar credenciales y cookies del navegador Manipular Firewall de Windows Enumeración y extracción de archivos Grabación de audio a través del micrófono Creación de cuentas de usuario locales
La evolución continua y la distribución generalizada de LodaRAT resaltan la amenaza persistente que representa una familia de malware establecida.
A pesar de estar en circulación durante casi ocho años, LodaRAT sigue siendo una herramienta eficaz para los ciberdelincuentes y puede causar importantes daños financieros y de seguridad de datos a organizaciones e individuos infectados.
Para reducir el riesgo de infección LodaRAT, los usuarios y las organizaciones deben:
Mantenga todo el software y los sistemas operativos actualizados Implemente un filtrado de correo electrónico sólido y antiphishing Utilice soluciones confiables de detección de terminales y antivirus Eduque a los empleados sobre los riesgos de abrir archivos adjuntos y enlaces sospechosos Realice copias de seguridad de los datos importantes con regularidad y almacene copias de seguridad sin conexión Supervise su sistema para detectar actividades inusuales o intentos de acceso no autorizados
A medida que LodaRAT continúa evolucionando y propagándose, sigue siendo importante permanecer alerta e implementar fuertes medidas de ciberseguridad para protegerse contra esta amenaza persistente.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
