PySilon RAT: cuando tu Discord comienza a funcionar para los hackers

Expertos de la compañía ASEC han identificado un nuevo troyano que representa una amenaza seria. Se trata de un programa de acceso remoto llamado PySilon, que utiliza la popular plataforma Discord para establecerse en dispositivos infectados.

Discord, inicialmente creado para gamers, hoy en día abarca una amplia gama de usuarios y comunidades gracias a sus funciones convenientes para la comunicación en tiempo real. Sin embargo, la flexibilidad del API de Discord también abre la posibilidad de usar la plataforma con fines maliciosos. Así, los bots que operan a través de este API pueden automatizar tareas del servidor, desde la administración hasta la reproducción de música, pero en manos de delincuentes se convierten en herramientas de ataque.

El troyano PySilon aprovecha este potencial, infiltrándose a través de un bot de Discord. Su código fuente, que está disponible de forma gratuita en GitHub, preocupa a los especialistas, ya que facilita la propagación y configuración de programas maliciosos para cualquiera que esté interesado.

PySilon está equipado con una herramienta especial para crear malware, que permite configurar parámetros como el identificador del servidor y el token del bot. Estos datos se introducen en el código en Python y se compilan en un archivo ejecutable. Cuando se ejecuta en la PC de la víctima, PySilon crea un nuevo canal en el servidor del atacante y envía allí información del sistema, incluyendo la dirección IP.

Para mantenerse en el sistema, el troyano se copia en la carpeta del usuario y realiza cambios en el registro de Windows para iniciarse al arrancar el sistema. Además, PySilon cuenta con protección contra el funcionamiento en máquinas virtuales, lo que le permite evitar el análisis en entornos de prueba.

Entre los comandos disponibles para el atacante está, por ejemplo, el comando “Grab”, con el cual se extraen datos personales de la víctima: tokens de Discord, historial del navegador, archivos de cookies y contraseñas. También el troyano puede grabar la pantalla y el audio utilizando bibliotecas populares de Python, así como registrar las pulsaciones de teclas.

Aún más, PySilon es compatible con el cifrado de archivos mediante el algoritmo Fernet, creando copias cifradas de documentos. Sin embargo, a diferencia de los típicos programas de ransomware, el troyano no deja una solicitud de rescate.

El código abierto de PySilon permite a los atacantes integrarlo en bots aparentemente inofensivos. Dado que los datos se transmiten a través de los servidores oficiales de Discord, es más difícil detectar la amenaza para los usuarios.

La creciente popularidad de proyectos de este tipo, disponibles en acceso abierto, indica un aumento de las amenazas en el ciberespacio, lo que subraya la necesidad de mejorar la vigilancia digital y desarrollar nuevos métodos de protección.