WSHRAT es un troyano de acceso remoto o RAT (por sus siglas en inglés). Este tipo de código malicioso permite a los cibercriminales obtener acceso a la máquina de sus víctimas para realizar diversas actividades de espionaje y robar información personal, como credenciales almacenadas en navegadores o clientes de mensajería, por ejemplo, Outlook, así como descargar archivos adicionales, ejecutar comandos en la máquina, entre otras.
WSHRAT es una variante de Houdini Worm o H-Worm, un malware escrito en el lenguaje Visual Basic Script (VBS) que fue visto por primera vez en 2013 siendo comercializado en foros clandestinos.
WSHRAT también es comercializado en foros clandestinos. En junio de 2019 un actor de amenazas ofreció en foros la venta del builder de WSHRAT por una suscripción mensual de 50 dólares. Esto demuestra que este tipo de “herramienta” puede ser utilizada por cualquier persona dispuesta a pagar y sin grandes conocimientos técnicos o sobre el funcionamiento de las soluciones antivirus, como puede ser el caso de los grupos APT.
Por último, WSHRAT hace uso de distintas técnicas de ofuscación o para ocultar el código dentro de distintos archivos ejecutables, ya sea para dificultar el análisis como para evitar ser detectado por soluciones antivirus.
Esta amenaza suele propagarse mediante archivos adjuntos maliciosos en correos de phishing que buscan engañar a los usuarios para convencerlos de que descarguen y ejecuten el archivo.
Dado que este troyano se propaga a nivel mundial, incluidos los países de América Latina, hemos visto que el mensaje en el asunto de estos correos electrónicos suele variar. A modo de ejemplo, algunos de los asuntos que hemos visto en español son:
Por otro lado, WSHRAT puede propagarse automáticamente sobre dispositivos USB que estén conectados en la máquina víctima, aumentando así sus posibilidades de infectar otros equipos.
Como se explica en la Imagen 3, este RAT es capaz de robar información personal de la máquina víctima y generar persistencia, además de otras cosas. Para poder realizar esto cuenta con distintas características que mencionaremos a continuación:
Para dimensionar el control que ofrece sobre la máquina víctima, estas son algunas de las acciones que permite ejecutar WSHRAT a partir de los comandos que recibe por parte de sus operadores: