NiceRat: «Elimina tu antivirus para que no interfiera con nuestro troyano»

Los malvados están utilizando activamente un malware llamado NiceRAT para crear una botnet de dispositivos infectados. Estos ataques están dirigidos a usuarios de Corea del Sur y se propagan a través de sitios locales de intercambio de archivos y blogs, haciéndose pasar por programas pirateados, herramientas de activación de Windows, servidores de juegos gratis, etc.

Según un reciente informe del Centro de Seguridad AhnLab (ASEC), la propagación del malware ocurre principalmente por los propios usuarios después de que los atacantes inicialmente colocan un apetecible archivo en la web, previamente insertando el código malicioso en él.

Dado que las herramientas distribuidas a menudo son incompatibles con los antivirus, lo cual no genera sospechas en los usuarios cuando se trata de activadores, los atacantes escriben directamente que para que la herramienta distribuida funcione correctamente, el antivirus debe desactivarse o incluso eliminarse.

Luego, los usuarios que cayeron en la trampa de los hackers obedientemente siguen todas las instrucciones, desactivando o eliminando todo el software de seguridad instalado en la computadora. Este enfoque no juega a favor de los investigadores de seguridad, quienes primero deben descubrir de alguna manera que hay un virus escondido en los sistemas de los usuarios.

Todo esto retrasa la detección inicial y el análisis de la amenaza indefinidamente, permitiendo que los atacantes infecten a más víctimas mientras tanto.

Otras formas de propagar NiceRAT incluyen el uso de una botnet compuesta por computadoras infectadas, controladas remotamente a través del troyano NanoCore RAT.

NiceRAT es un malware de código abierto en activo desarrollo, escrito en Python. Puede detectar depuración habilitada y ejecución en máquinas virtuales, así como crear tareas programadas para mantener la persistencia.

El malware recopila información sobre la dirección IP de la víctima, la ubicación de la computadora, escanea los navegadores instalados y todo el sistema operativo en busca de otros datos valiosos, como credenciales de billeteras de criptomonedas, y luego envía todo esto a los atacantes a través de servidores de Discord.

La primera versión de NiceRAT se lanzó el 17 de abril de 2024, la versión actual es la 1.1.0. El desarrollador también ofrece una versión premium, lo que indica el uso del modelo «malware como servicio» (MaaS).

Los usuarios deben tener especial cuidado y estar alerta al ejecutar cualquier programa descargado de sitios de intercambio de archivos, blogs y otras fuentes no confiables. Y en caso de que el sistema ya esté infectado, es necesario instalar software antivirus y eliminar cualquier entrada sospechosa del Programador de tareas de Windows.