Recientemente se ha descubierto un troyano de acceso remoto (RAT) que emplea la plataforma de mensajería instantánea y VoIP gratuita Discord como centro de control y comando (C&C). Siendo posiblemente el primero en su especie que emplee esta plataforma como tal.

Los RAT se instalan sin el conocimiento del usuario y aprovechan la funcionalidad de acceso remoto del dispositivo que se suele emplear para fines de soporte técnico y uso compartido de archivos. Pero a diferencia de los programas legítimos de acceso remoto, los RAT se diseñan para espiar, secuestrar o destruir equipos.

El vector de ataque suele consistir en camuflar el RAT con archivos aparentemente legítimos, tal y como sucede con otros tipos de malware, como un adjunto en un correo electrónico, dentro de un paquete de software o videojuego, o incluso escondidos en un anuncio o página web maliciosa. Sin embargo, a diferencia de otros virus, un RAT no suele ralentizar el equipo y el atacante puede manipular el equipo infectado de forma inadvertida para la víctima, ya que le permite un control completo y anónimo del equipo infectado.

Por tanto, las acciones que puede llevar a cabo el atacante pueden ir desde el acceso a todos los archivos contenidos en el dispositivo hasta el espionaje de toda la actividad realizada con el mismo, incluyendo también la posibilidad de usarlo para la descarga de contenido ilegal en Internet, el uso de la red doméstica en el que esté incluido para integrarla en una botnet o incluso realizar acciones en línea haciéndose pasar por la víctima.

El equipo de MalwareHunterTeam ha descubierto una muestra de malware (MD5 f45a0a9d9d63fc71c5189e3ae282c7f7) correspondiente a un RAT denominado «Abaddon» que emplea la plataforma Discord, disponible en prácticamente todas las plataformas y con más de 250 millones de usuarios registrados a finales de 2019, como C&C. Dado que otros atacantes ya han usado esta plataforma para diferentes propósitos maliciosos, como el emplearlo como canal para el envío de los datos robados, se sospecha que el autor de Abaddon podría añadir nuevas funcionalidades al RAT para robar información sensible de la víctima.

Actualmente, el equipo de Bleeping Computers ha detectado que Abaddon es capaz de descargarse archivos, obtener el listado de unidades, abrir una shell que le permita al atacante ejecutar comandos en la máquina infectada y recuperar cualquier tipo de información enviada por la víctima. Además, el código malicioso realiza una conexión al C&C cada diez segundos para obtener nuevas tareas que ejecutar. Los expertos consideran que el RAT es capaz de encriptar y desencriptar archivos del dispositivo infectado, por lo que la funcionalidad de ransomware es posible que esté en desarrollo.

Desde Hispasec Sistemas recomendamos encarecidamente para evitar tanto los RAT como otro tipo de malware: no descargarse archivos de fuentes que no sean de confianza, evitar la apertura de correos electrónicos sospechosos y no descargarse software ilegal. Y además, procurar mantener siempre actualizados con los correspondientes parches de seguridad tanto el sistema operativo como el navegador web. Por otro lado, es muy recomendable disponer de un software antivirus como capa extra de seguridad, y analizar periódicamente con el dispositivo, dado que la mayoría de los RAT son conocidos por las principales casas de antivirus.

Más información:

• https://securityaffairs.co/wordpress/109971/malware/abaddon-rat-discord-cc.html