Los actores de amenazas atraen a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas. Esta utilidad se distribuye a través de navegadores y plataformas de chat y ofrece un troyano de acceso remoto (RAT).
«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», dijo el equipo de Microsoft Threat Intelligence en una publicación en X. «El descargador usó PowerShell y binarios residentes (LOLBins) como cmstp.exe para una ejecución sigilosa».
Esta cadena de ataque está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para el componente RAT.
La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs» antes de que se implemente la carga útil final en el host comprometido. Según Microsoft, este malware es un «malware multipropósito» que funciona como cargador, ejecutor, descargador y RAT.
Una vez iniciado, se conecta a un servidor externo en ‘79.110.49(.)15’ para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.
Para protegerse contra esta amenaza, recomendamos que los usuarios auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en los hosts comprometidos.
Esta divulgación se produce después de que BlackFog revelara detalles de una nueva familia de malware RAT para Windows llamada Steaelite, que se promocionó por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Compatible tanto con Windows 10 como con 11.
A diferencia de otros RAT disponibles en el mercado vendidos a delincuentes, Staelite agrupa el robo de datos y el ransomware en un solo panel web, y también se está trabajando en un módulo de ransomware para Android. Este panel también incorpora varias herramientas de desarrollador que facilitan el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la difusión USB, los cambios de fondo de pantalla, la omisión de UAC y la funcionalidad Clipper.
Otras características notables incluyen la eliminación de malware conflictivo, deshabilitar o configurar exclusiones para Microsoft Defender e instalar métodos de persistencia.
Las características clave de Steaelite RAT incluyen soporte para ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.
«Esta herramienta brinda a los operadores control basado en navegador de las máquinas Windows infectadas, cubriendo la ejecución remota de código, robo de credenciales, monitoreo en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCaig.
«Un solo atacante puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».
En las últimas semanas, los cazadores de amenazas también descubrieron dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT. Estos permiten un control remoto integral sobre los hosts infectados e incluso implementan selectivamente capacidades posteriores al compromiso. Se sospecha que KazakRAT es obra de un grupo afiliado al estado que apunta a entidades en Kazajstán y Afganistán como parte de una campaña en curso que ha estado en curso desde al menos agosto de 2022, según Ctrl Alt Intel.
Source link
