WSHRAT: Un troyano de acceso remoto en evolución
Analizamos las principales características de WSHRAT, un troyano de acceso remoto (RAT) derivado del malware H-Worm, que sigue activo en campañas globales de ciberataques.
Explicamos qué es WSHRAT, cómo se propaga y sus capacidades, basándonos en muestras analizadas en el segundo trimestre de 2021.
¿Qué es WSHRAT?
WSHRAT es un troyano de acceso remoto (RAT) que permite a los cibercriminales controlar equipos infectados, robar información sensible y realizar acciones maliciosas.
Este malware puede extraer credenciales de navegadores y clientes de mensajería (como Outlook), descargar archivos adicionales, ejecutar comandos, y más. Es una variante de H-Worm, un malware escrito en Visual Basic Script (VBS) detectado en 2013 y comercializado en foros clandestinos.
Similitudes entre WSHRAT y H-Worm
Detectado por primera vez en junio de 2019, WSHRAT puede estar escrito en VBS o JavaScript y cuenta con más comandos que H-Worm. Comparte similitudes en el código, como se muestra en la siguiente imagen:
WSHRAT también se comercializa en foros clandestinos. En 2019, un actor de amenazas ofreció su constructor por 50 dólares mensuales, lo que permite su uso por personas con conocimientos técnicos limitados.
Además, utiliza técnicas de ofuscación para ocultar su código en archivos ejecutables, dificultando su detección por soluciones antivirus.
Cómo se propaga WSHRAT
WSHRAT se distribuye principalmente a través de correos de phishing con archivos adjuntos maliciosos que engañan a los usuarios para que los descarguen y ejecuten.
Con campañas activas en América Latina, los asuntos de los correos suelen variar. Algunos ejemplos en español incluyen:
- Detalles de la multa electrónica
- Comparendo electrónico
- Infracciones vencidas por pagar urgente
- Notificación del comparendo
- Aviso importante de la Comisión de Tránsito del Ecuador
Además, WSHRAT tiene características de gusano, propagándose automáticamente a través de dispositivos USB al crear accesos directos maliciosos que ejecutan tanto el archivo original como el malware.
Principales características de WSHRAT
WSHRAT ofrece a los atacantes un control extenso sobre la máquina infectada, con capacidades como robo de datos, persistencia y ejecución remota. Sus principales características incluyen:
- Lenguajes de desarrollo: Payload en Visual Basic Script (VBS) o JavaScript.
- Persistencia: Se instala en rutas como:
C:\Users\%USERNAME%\AppData\RoamingC:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Modificación de registros: Altera claves de Windows para mantener persistencia, como:
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunHKU\%USERNAME%\Software\Microsoft\Windows\CurrentVersion\Run
- Funcionalidades avanzadas: Configuraciones que permiten:
- Ejecutar el malware con privilegios de administrador.
- Desactivar el antispyware de Windows Defender.
- Modificar el Control de Cuentas de Usuario (UAC).
- Archivos embebidos: Usa archivos en base64 para acciones como:
- Robar credenciales de navegadores (Firefox, Chrome).
- Establecer un proxy inverso.
- Iniciar una conexión RDP.
- Ejecutar un keylogger.
- Comandos: Más de 30 comandos para acciones como reiniciar/apagar el equipo, ejecutar comandos, descargar archivos, robar credenciales, enviar datos al servidor del atacante, y más.
Hashes analizados
5119c2253019970abd914b0c571f793f1a9466bd(payload)1704cf928d3f421cc1b2b654e95696ed4d127ffd(correo electrónico)
Consejos para protegerse de WSHRAT
Para evitar ser víctima de WSHRAT, especialmente a través de correos de phishing y dispositivos USB, sigue estas recomendaciones:
Correos de phishing
- Verifica el correo entrante, prestando atención a:
- La dirección del remitente.
- El nombre del emisor.
- Errores ortográficos o contenido sospechoso.
- No abras correos sospechosos.
- Evita descargar adjuntos de correos dudosos.
- Revisa las extensiones de archivos (por ejemplo, “.pdf.exe” indica un ejecutable).
- No ingreses credenciales en sitios enlazados desde correos; accede directamente a la página oficial.
- Sé cauteloso con archivos comprimidos (.zip, .rar), incluso de fuentes legítimas.
- Mantén los sistemas y aplicaciones actualizados.
- Actualiza regularmente tu solución antivirus.
Dispositivos USB
- Observa cambios en los archivos de los dispositivos.
- Verifica si hay archivos duplicados con íconos diferentes.
- Analiza archivos sospechosos con un antivirus antes de ejecutarlos.
Técnicas de MITRE ATT&CK
WSHRAT utiliza varias técnicas del framework MITRE ATT&CK (versión 9). A continuación, se detallan:
| Táctica | Técnica (ID) | Nombre |
|---|---|---|
| Acceso inicial | T1091 | Replication Through Removable Media |
| T1566.001 | Phishing: Spearphishing Attachment | |
| Ejecución | T1059.001 | Command and Scripting Interpreter: PowerShell |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | |
| T1204.002 | User Execution: Malicious File | |
| Evasión de defensas | T1027 | Obfuscated Files or Information |
| T1055 | Process Injection | |
| T1112 | Modify Registry | |
| T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | |
| Descubrimiento | T1057 | Process Discovery |
| T1082 | System Information Discovery | |
| T1518.001 | Software Discovery: Security Software Discovery | |
| Recolección | T1056 | Input Capture |
| Exfiltración | T1041 | Exfiltration Over C2 Channel |
Nota: Esta tabla se basa en la versión 9 del framework MITRE ATT&CK.
Fuente: We Live Security por Fernando Tavella
Compartir:
