WSHRAT: troyano de acceso remoto capaz de realizar múltiples acciones en un equipo infectado

¿Qué es WSHRAT?

WSHRAT es un troyano de acceso remoto o RAT (por sus siglas en inglés). Este tipo de código malicioso permite a los cibercriminales obtener acceso a la máquina de sus víctimas para realizar diversas actividades de espionaje y robar información personal, como credenciales almacenadas en navegadores o clientes de mensajería, por ejemplo, Outlook, así como descargar archivos adicionales, ejecutar comandos en la máquina, entre otras.

WSHRAT es una variante de Houdini Worm o H-Worm, un malware escrito en el lenguaje Visual Basic Script (VBS) que fue visto por primera vez en 2013 siendo comercializado en foros clandestinos.


WSHRAT también es comercializado en foros clandestinos. En junio de 2019 un actor de amenazas ofreció en foros la venta del builder de WSHRAT por una suscripción mensual de 50 dólares. Esto demuestra que este tipo de “herramienta” puede ser utilizada por cualquier persona dispuesta a pagar y sin grandes conocimientos técnicos o sobre el funcionamiento de las soluciones antivirus, como puede ser el caso de los grupos APT.

Por último, WSHRAT hace uso de distintas técnicas de ofuscación o para ocultar el código dentro de distintos archivos ejecutables, ya sea para dificultar el análisis como para evitar ser detectado por soluciones antivirus.

Cómo se propaga WSHRAT

Esta amenaza suele propagarse mediante archivos adjuntos maliciosos en correos de phishing que buscan engañar a los usuarios para convencerlos de que descarguen y ejecuten el archivo.

Dado que este troyano se propaga a nivel mundial, incluidos los países de América Latina, hemos visto que el mensaje en el asunto de estos correos electrónicos suele variar. A modo de ejemplo, algunos de los asuntos que hemos visto en español son:

  • Detalles De La Multa Electrónica
  • Comparendo-Electrónico
  • infracciones vencidas por pagar urgente
  • Notificación Del Comparendo
  • Aviso Importante De La Comisión De Tránsito Del Ecuador

Por otro lado, WSHRAT puede propagarse automáticamente sobre dispositivos USB que estén conectados en la máquina víctima, aumentando así sus posibilidades de infectar otros equipos.

Principales características de WSHRAT

Como se explica en la Imagen 3, este RAT es capaz de robar información personal de la máquina víctima y generar persistencia, además de otras cosas. Para poder realizar esto cuenta con distintas características que mencionaremos a continuación:

  • Su payload puede estar desarrollado en el lenguaje Visual Basic o JavaScript
  • Puede obtener persistencia sobre la máquina víctima instalándose en las siguientes rutas:
  • C:\Users\%USERNAME%\AppData\Roaming
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • También obtiene persistencia modificando alguna de las siguientes claves de registros de Windows:
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
  • HKU[%USERNAME%]\Software\Microsoft\Windows\CurrentVersion\Run
  • Posee distintas variables globales que, dependiendo de su configuración, le permite realizar acciones como las siguientes:
  • Correr la amenaza con privilegios de administrador
  • Desactivar la funcionalidad antispyware del Windows defender
  • Modificar la funcionalidad de UAC de Windows
  • Posee distintos archivos embebidos en base64 que se utilizan para llevar a cabo distintas acciones maliciosas. Por ejemplo:
  • Obtener credenciales de distintos navegadores como Firefox o Google Chrome
  • Establecer un reverse proxy
  • Establecer una conexión RDP en la máquina víctima
  • Correr un keylogger en la máquina víctima
  • Cuenta con más de 30 comandos para realizar distintas acciones sobre la máquina víctima, aparte de las mencionadas anteriormente.

Para dimensionar el control que ofrece sobre la máquina víctima, estas son algunas de las acciones que permite ejecutar WSHRAT a partir de los comandos que recibe por parte de sus operadores:

  • Reiniciar o apagar la máquina víctima
  • Ejecutar comandos sobre la máquina víctima
  • Descargar y ejecutar archivos que pueden ser descargados desde un servidor controlado por el atacante o desde una dirección aparte
  • Obtener credenciales de distintos navegadores, como Mozilla Firefox, Google Chrome o Internet Explorer
  • Obtener credenciales de distintos clientes de mensajería como Outlook, Mozilla Thunderbird, entre otros
  • Enviar archivos hacia el servidor del atacante
  • Ejecutar un keylogger en la máquina víctima
  • Obtener los procesos que estén corriendo en la máquina víctima
  • Matar un proceso que este corriendo en la máquina víctima
  • Actualizar o desinstalar el malware
  • Ejecutar una sesión de RDP sobre la máquina víctima

Regresar a Noticias
Contáctanos
Llámanos
PGP/GPG Key
For encrypted email communications, use the following PGP/GPG key:

PGP/GPG key: 0x07269380
Fingerprint: E637 674B B744 19223837 D14E 76C1 0E32 0726 9380
Visítanos
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.
English Español