ectopRAT, también conocido como Arechclient2, es un sofisticado troyano de acceso remoto (RAT) desarrollado utilizando el marco .NET.
Este malware es conocido por sus técnicas avanzadas de ofuscación, lo que dificulta su análisis y detección.
Recientemente, investigadores de ciberseguridad descubrieron una nueva campaña en la que sectopRAT se disfraza como una extensión legítima de Google Chrome llamada «Google Docs», amplificando aún más sus capacidades de sigilo y robo de datos.
Ofuscación y capacidades avanzadas
SectopRAT emplea el ofuscador de callos, una técnica que complica significativamente el análisis estático.
A pesar de los intentos de desofuscar el código utilizando herramientas como CalliFixer, las funcionalidades principales del malware permanecen ocultas.
Sin embargo, mediante una descompilación parcial, los investigadores identificaron sus amplias capacidades, que incluyen:
- Robar datos del navegador, como cookies, contraseñas guardadas, información de autocompletar y claves cifradas.
- Elaboración de perfiles de los sistemas víctimas mediante la recopilación de detalles sobre el hardware, los sistemas operativos y el software instalado.
- Dirigido a aplicaciones como VPN (NordVPN, ProtonVPN), lanzadores de juegos (Steam) y plataformas de comunicación (Telegram, Discord).
- Escaneo en busca de billeteras de criptomonedas y credenciales FTP.
La capacidad de sectopRAT para filtrar información confidencial resalta su doble función como ladrón de información y herramienta de control remoto.
Según un análisis, se comunica con su servidor de Comando y Control (C2) mediante canales cifrados, normalmente a través de los puertos 9000 y 15647.
Disfraz de extensión maliciosa de Chrome
Uno de los aspectos más alarmantes de esta campaña es el uso por parte de sectopRAT de una extensión falsa de Google Chrome disfrazada de «Google Docs».
Tras la infección, el malware descarga archivos como manifest.json, content.js y background.js desde su servidor C2.
Estos archivos permiten que la extensión:
- Inyecte scripts maliciosos en todas las páginas web visitadas.
- Capture entradas de usuarios como nombres de usuario, contraseñas, detalles de tarjetas de crédito y datos de formularios.
- Transmitir datos robados al servidor C2 del atacante.
La extensión funciona con el pretexto de proporcionar capacidades de edición sin conexión para Google Docs, pero en cambio funciona como un sofisticado registrador de teclas y una herramienta de filtración de datos.
Los IoC clave asociados con esta campaña incluyen:
- Hash de archivo: EED3542190002FFB5AE2764B3BA7393B
- Servidores C2: 91.202.233.18 en los puertos 9000 y 15647
- URL maliciosas: http://91.202.233[.]18/wbinjget?q=… y https://pastebin.com/raw/wikwTRQc
- Nombre de exclusión mutua: 49c5e6d7577e447ba2f4d6747f56c473
La capacidad de sectopRAT para imitar software legítimo y al mismo tiempo evadir la detección representa una amenaza importante tanto para individuos como para organizaciones.
Las funciones antianálisis del malware, como los mecanismos antimáquinas virtuales y la comunicación C2 cifrada, lo hacen particularmente difícil de alcanzar.
Para mitigar riesgos:
- Bloquee el tráfico de red a servidores C2 identificados.
- Supervise la actividad de archivos sospechosos en directorios como %AppData%/Local/llg.
- Elimina extensiones de Chrome desconocidas o sospechosas.
- Emplear sistemas de detección de amenazas basados en el comportamiento.
- Restrinja la ejecución de aplicaciones .NET que no sean de confianza.
Esta campaña subraya la evolución de las tácticas de los ciberdelincuentes al aprovechar plataformas confiables, como los navegadores, para implementar malware altamente evasivo.
Una mayor vigilancia y medidas de seguridad proactivas son esenciales para combatir esas amenazas con eficacia.
