Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós RTX RAT

RTX RAT

El Mezo el Programari maliciós, Eines d'administració remota
Traduir a:

Un incident de seguretat que implicava CPUID va exposar els usuaris a programari maliciós a través del seu lloc web oficial, cpuid.com. Durant un període inferior a 24 hores, els actors amenaçadors van manipular amb èxit enllaços de descàrrega per distribuir versions infectades d'eines de monitorització de maquinari àmpliament utilitzades.

El compromís es va produir entre el 9 d'abril a les 15:00 UTC i el 10 d'abril a les 10:00 UTC, durant el qual els enllaços legítims de l'instal·lador es van substituir de manera intermitent per redireccions malicioses. És important destacar que la CPUID va confirmar que els seus binaris originals signats romanien intactes, ja que la violació provenia d'una característica secundària, essencialment una API lateral, que feia que el lloc web mostrés aleatòriament enllaços nocius en lloc d'alterar el programari principal.

Infraestructura maliciosa: dominis fraudulents darrere de l'atac

Les investigacions dels investigadors de ciberseguretat van identificar diversos dominis utilitzats per allotjar i lliurar les càrregues útils troianitzades. Aquests llocs web fraudulents van tenir un paper central en la redirecció d'usuaris desprevinguts a descàrregues compromeses:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Aquests dominis formaven part d'una infraestructura més àmplia dissenyada per donar suport a la distribució de programari maliciós i a les operacions de comandament i control.

Mecanisme de lliurament discret: Abús de càrrega lateral de DLL

Els atacants van emprar una tècnica d'evasió coneguda anomenada càrrega lateral de DLL. Els paquets maliciosos es van distribuir com a arxius ZIP i instal·ladors independents, cadascun dels quals contenia dos components: un executable legítim i signat i una biblioteca d'enllaços dinàmics no autoritzada anomenada "CRYPTBASE.dll".

Aprofitant la confiança dipositada en els binaris signats, la DLL maliciosa es carregava durant l'execució, cosa que permetia un compromís encobert. Abans d'iniciar més accions, el programari maliciós realitzava comprovacions anti-sandbox per evitar la detecció en entorns d'anàlisi. Un cop superades aquestes comprovacions, contactava amb un servidor extern per recuperar càrregues útils addicionals.

Implementació de STX RAT: una eina versàtil de postexplotació

L'objectiu final de la campanya era desplegar l'STX RAT, un potent troià d'accés remot equipat amb capacitats de computació en xarxa virtual oculta (HVNC) i una àmplia funcionalitat de robatori de dades.

Aquest programari maliciós permet als atacants mantenir un control persistent sobre els sistemes infectats i executar una àmplia gamma d'activitats posteriors a l'explotació, com ara:

  • Execució en memòria d'EXE, DLL, scripts de PowerShell i shellcode
  • Proxy invers i túnel de xarxa
  • Interacció i vigilància d'escriptori remot

Aquestes capacitats fan que STX RAT sigui particularment perillós tant en entorns individuals com empresarials.

Superposició de campanyes: enllaços a atacs anteriors de FileZilla

L'anàlisi va revelar que la infraestructura de comandament i control (C2) utilitzada en aquest incident havia estat associada prèviament a una campanya separada que implicava instal·ladors de FileZilla amb troians. La reutilització de les mateixes configuracions de servidor i dominis de comunicació indica clarament una superposició operativa entre les dues campanyes.

Aquesta repetició de tàctiques, tècniques i infraestructura va proporcionar indicadors valuosos per a la detecció i l'atribució.

Operació a llarg termini: un calendari de campanya de 10 mesos

Una investigació més detallada suggereix que la violació de la CPUID forma part d'una campanya més àmplia que va començar el juliol de 2025. Es va observar la mostra de programari maliciós més antiga coneguda, identificada com a "superbad.exe", comunicant-se amb un servidor de comandament i control a 95.216.51.236.

Els experts en seguretat avaluen que l'actor de l'amenaça probablement parla rus i pot estar motivat econòmicament o funcionar com a intermediari d'accés inicial, una entitat especialitzada en obtenir punts de suport en sistemes i vendre aquest accés a altres ciberdelinqüents.

Avaluació d'impacte: abast global amb víctimes diverses

L'atac ha afectat més de 150 víctimes confirmades, predominantment usuaris individuals. Tanmateix, organitzacions de múltiples sectors també han experimentat problemes, com ara els sectors del comerç minorista, la indústria manufacturera, la consultoria, les telecomunicacions i l'agricultura.

Geogràficament, la majoria de les infeccions s'han identificat al Brasil, Rússia i la Xina, cosa que indica una estratègia de focalització àmplia i oportunista.

Debilitats operatives: errors que van conduir a la detecció

Malgrat l'abast de la campanya, diverses fallades de seguretat operativa van minar significativament l'eficàcia dels atacants. La reutilització de cadenes d'infecció idèntiques, càrregues útils STX RAT i dominis de comandament i control de campanyes anteriors va facilitar el seguiment i la correlació de l'activitat.

Aquestes deficiències suggereixen una sofisticació relativament baixa en les pràctiques de desenvolupament i desplegament de programari maliciós. Com a resultat, els defensors van poder detectar l'atac de forat d'aigua ràpidament després del seu inici, limitant el seu impacte general i la finestra d'exposició.


Tendència

Estafa de correu electrònic amb verificació de...

Phishing, Correu brossa
Ser prudent a l'hora de gestionar correus electrònics inesperats és essencial per mantenir la seguretat en línia. Els ciberdelinqüents sovint disfressen els missatges maliciosos de comunicacions legítimes per explotar la confiança i la urgència. L'anomenada estafa de correu electrònic "Verificació de seguretat requerida" és un exemple perfecte d'aquesta tàctica. Aquests correus electrònics no...

Més vist

Carregant...