Neptune RAT se propaga a través de YouTube, Telegram y GitHub

Los investigadores de la firma de ciberseguridad CYFIRMA han descubierto un nuevo y altamente sofisticado malware, conocido como Neptune RAT, que se está propagando rápidamente a través de plataformas sociales como GitHub, Telegram y YouTube, representando una amenaza significativa para los usuarios de Windows en todo el mundo, tanto individuos como organizaciones.

Este troyano de acceso remoto (RAT), también descrito como el “RAT más avanzado”, está equipado con un conjunto de características maliciosas, incluyendo un clipper de criptomonedas, un capturador de contraseñas, destrucción del sistema, implementación de ransomware, monitoreo en vivo del escritorio y la capacidad de desactivar software antivirus, etc., lo que lo convierte en una amenaza extremadamente seria.

Canales de Distribución y Método de Infección

Según CYFIRMA, los creadores del Neptune RAT (escrito en Visual Basic .NET) han puesto la última versión del software a disposición de forma gratuita en plataformas sociales sin código fuente. Los desarrolladores han ofuscado deliberadamente los archivos ejecutables para dificultar el análisis del malware.

Aunque el desarrollador lo presenta como una versión gratuita y afirma que está destinado a “fines educativos y éticos”, insinúan una versión más avanzada y de pago disponible detrás de un muro de pago, lo que plantea preocupaciones de seguridad significativas dado cómo se está distribuyendo y potencialmente malutilizando.

Neptune RAT tiene la capacidad de generar comandos de PowerShell directos (usando irm e iex), lo que permite una entrega y ejecución sin problemas. Utiliza plataformas como GitHub y API como catbox.moe para alojar scripts y archivos maliciosos. Además, la integración de caracteres árabes y emojis para reemplazar las cadenas originales, hace que sea aún más difícil de analizar.

Capacidades del Malware

Neptune RAT cuenta con varias características peligrosas, tales como:

Robo de Credenciales: Es capaz de extraer credenciales o detalles de inicio de sesión de más de 270 aplicaciones, incluyendo navegadores web, redes sociales y plataformas financieras.

Clipping de Criptomonedas: Monitorea la actividad del portapapeles para detectar direcciones de billeteras de criptomonedas y las reemplaza por aquellas controladas por los atacantes, redirigiendo así fondos sin el conocimiento de la víctima.

Implementación de Ransomware: Una vez activado, el Neptune RAT cifra archivos en el sistema de la víctima y exige un rescate por su liberación, manteniendo efectivamente los datos como rehenes.

Destrucción del Sistema: Contiene funcionalidades que pueden incluso corromper componentes del sistema como el Registro de Arranque Maestro, dejando el dispositivo infectado inoperable.

Técnicas de Evasión: Emplea métodos anti-análisis, como la detección de máquinas virtuales (VM), y establece múltiples métodos de persistencia a través de modificaciones en el registro y el Programador de Tareas para asegurarse de que puede mantener el control a largo plazo sobre los sistemas comprometidos.

Medidas de Protección

Para protegerse contra cualquier amenaza potencial del Neptune RAT, tanto individuos como organizaciones pueden seguir medidas de protección, como evitar descargar software o hacer clic en enlaces de fuentes no confiables, especialmente en plataformas como GitHub, Telegram y YouTube;

Asegurarse de actualizar regularmente Windows y todas las aplicaciones instaladas para corregir vulnerabilidades conocidas; utilizar software antivirus y antimalware de buena reputación que pueda detectar y bloquear amenazas avanzadas.

Hacer copias de seguridad regularmente de datos críticos para asegurar la recuperación en caso de un ataque; y mantenerse informado sobre amenazas emergentes y practicar hábitos de navegación y descarga seguros.

Para más información sobre Neptune RAT, puedes consultar el sitio web de CYFIRMA aquí.