Investigadores de ciberseguridad han trazado la evolución de un
troyano de acceso remoto ampliamente utilizado llamado AsyncRAT, publicado
por primera vez en GitHub en enero de 2019
y que desde entonces ha servido de base para varias variantes.
«AsyncRAT se ha consolidado como una piedra angular del malware moderno y
una amenaza generalizada que ha evolucionado hasta convertirse en una
extensa red de bifurcaciones y variantes», declaró el investigador de ESET Nikola Knežević en un
informe.
«Si bien sus capacidades no son tan impresionantes por sí mismas, es su
naturaleza de código abierto lo que realmente ha amplificado su impacto. Su
arquitectura basada en complementos y su facilidad de modificación han
impulsado la proliferación de numerosas bifurcaciones, ampliando aún más los
límites».
Si bien la evolución de AsyncRAT destaca su adaptabilidad técnica, su impacto
real se debe a cómo se implementa en campañas de phishing oportunistas y se
integra con cargadores como GuLoader o SmokeLoader. Estos métodos de entrega
permiten una rápida distribución mediante software pirateado, anuncios
maliciosos o actualizaciones falsas, dirigidas tanto a usuarios corporativos
como particulares. Sin una detección temprana, AsyncRAT suele actuar como una
herramienta para el robo de información y el control remoto.
Publicado inicialmente en
GitHub por NYAN CAT, este malware basado en C# puede realizar capturas de pantalla, registrar
pulsaciones de teclas, robar credenciales y permitir a los atacantes controlar
sigilosamente los sistemas infectados, extraer datos y ejecutar instrucciones
maliciosas.
La simplicidad y el carácter de código abierto de esta herramienta modular,
junto con su arquitectura modular y sus funciones de sigilo mejoradas, no solo
la han hecho muy adaptable y difícil de detectar, sino también una opción
atractiva para los cibercriminales, como
lo demuestran
las
innumerables
campañas
que
lo han distribuído
a lo largo de los años.
La empresa eslovaca de ciberseguridad afirmó que las bases de AsyncRAT se
establecieron previamente con otra RAT de código abierto conocida como
Quasar RAT
(también conocida como CinaRAT o Yggdrasil), disponible en GitHub desde 2015.
Aunque ambas variantes de malware están programadas en C#, las amplias
diferencias entre ellas sugieren que AsyncRAT fue mucho más que una
bifurcación: fue una reescritura a fondo.
Los dos malware se unen por el uso de las mismas clases de criptografía
personalizadas para descifrar la configuración del malware. Desde el
lanzamiento de AsyncRAT, el malware ha generado diversas variantes, como
DCRat
(también conocida como DarkCrystal RAT) y
Venom RAT.
DCRat supone una mejora significativa respecto a AsyncRAT, ya que incorpora
técnicas de evasión para pasar desapercibido y aumenta su capacidad para
recopilar datos de cámaras web, grabaciones de micrófono y tokens de Discord,
además de un módulo para cifrar archivos.
DCRat también implementa técnicas de evasión como la aplicación de parches
AMSI y ETW, que funcionan desactivando las funciones de seguridad que detectan
y registran el comportamiento malicioso. Además, cuenta con un sistema
antiproceso que elimina los procesos cuyos nombres coinciden con los de una
lista de denegados.
Por otro lado, se dice que Venom RAT se inspiró en DCRat, aunque también
incorpora características únicas.
«Si bien pertenecen a la familia Quasar RAT, siguen siendo RAT
diferentes»,
señaló
Anna Širokova, investigadora de Rapid7, en un análisis de AsyncRAT y Venom RAT
en noviembre de 2024.
«Venom RAT presenta técnicas de evasión más avanzadas, lo que la convierte
en una amenaza más sofisticada».
ESET afirmó haber identificado variantes menos conocidas de AsyncRAT, como
NonEuclid RAT, que incorpora complementos para forzar credenciales SSH y FTP, recopilar
geolocalización, actuar como un
clipper
al sustituir los datos del portapapeles con las direcciones de la billetera de
criptomonedas del atacante e incluso propagar el malware comprometiendo
archivos ejecutables portátiles con una carga útil arbitraria.
JasonRAT, por su parte, introduce cambios personalizados, como la capacidad de
atacar sistemas según el país. Asimismo,
XieBroRAT
incluye un ladrón de credenciales de navegador y un complemento para
interactuar con los servidores de Cobalt Strike mediante una conexión inversa.
También
está adaptado
para el mercado chino.
«El auge de AsyncRAT y sus posteriores bifurcaciones ponen de relieve los
riesgos inherentes a los frameworks de malware de código abierto», declaró ESET.
«Todas estas bifurcaciones no solo amplían las capacidades técnicas de
AsyncRAT, sino que también demuestran la rapidez y creatividad con la que
los actores de amenazas pueden adaptar y reutilizar el código abierto».
La amplia disponibilidad de estos frameworks reduce significativamente las
barreras de entrada para los ciberdelincuentes en ciernes, permitiendo incluso
a los principiantes implementar malware sofisticado con un mínimo esfuerzo.
Esta democratización del desarrollo de malware, especialmente considerando la
creciente popularidad de los LLM y el potencial de uso indebido de sus
capacidades, acelera aún más la creación y personalización de herramientas
maliciosas, contribuyendo a un panorama de amenazas en rápida expansión y cada
vez más complejo.
Este cambio también ha impulsado el auge del malware como servicio (MaaS),
donde los constructores de AsyncRAT preconfigurados y los módulos listos para
usar se venden abiertamente en Telegram y foros de la dark web. La creciente
superposición entre el malware de código abierto, las herramientas de pruebas
de penetración y los frameworks comerciales de acceso remoto complica la
atribución y la defensa.
Para los equipos de seguridad, esto significa un mayor enfoque en la detección
del comportamiento, el análisis de comando y control (C2) y la comprensión de
cómo la persistencia sin archivos, el secuestro del portapapeles y el robo de
credenciales convergen en las campañas de malware modernas.
Fuente:
THN