AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**WebRAT se infiltra en repositorios de GitHub simulando PoC de vulnerabilidades recién divulgadas**

admin

### 1. Introducción

El ecosistema de ciberamenazas evoluciona constantemente, y los actores maliciosos buscan nuevas vías para maximizar la distribución de malware. Una tendencia preocupante que ha emergido en 2024 es la utilización de plataformas legítimas de desarrollo colaborativo, como GitHub, para propagar herramientas maliciosas bajo la apariencia de proyectos legítimos. En este contexto, el troyano de acceso remoto WebRAT ha sido detectado recientemente como parte de una campaña sofisticada que aprovecha la publicación de “proof of concept” (PoC) de vulnerabilidades recién divulgadas para infectar a investigadores y profesionales del sector.

### 2. Contexto del Incidente

Durante el segundo trimestre de 2024, analistas de seguridad han identificado múltiples repositorios en GitHub que, bajo la apariencia de PoC para vulnerabilidades recientes, distribuyen versiones ofuscadas del malware WebRAT. Esta táctica aprovecha el interés y la premura de los equipos de ciberseguridad por analizar y validar nuevas vulnerabilidades críticas, un comportamiento habitual tras la publicación de CVE con alto impacto.

En los casos detectados, los repositorios se publican poco después de que se divulgue una nueva vulnerabilidad de alto perfil (por ejemplo, CVE-2024-XXXX, afectando a soluciones ampliamente desplegadas como VMware, Microsoft Exchange o productos de red perimetral). Los actores maliciosos emplean técnicas de ingeniería social para posicionar sus repositorios en los resultados de búsqueda y foros especializados, aumentando la probabilidad de descarga e instalación.

### 3. Detalles Técnicos

**WebRAT** es un troyano de acceso remoto desarrollado en .NET, conocido por su modularidad y capacidad para evadir sistemas EDR modernos. La variante actual emplea técnicas de “living-off-the-land” (LotL), utilizando procesos legítimos de Windows para dificultar su detección.

– **Vectores de ataque**: El principal vector es la descarga e instalación manual por parte de profesionales que buscan PoC. Los scripts suelen estar empaquetados en archivos comprimidos o directamente en código fuente ofuscado en Python o PowerShell.
– **TTP MITRE ATT&CK**:
– **Initial Access (T1195.002 – Compromised Website: Drive-by Compromise)**
– **Execution (T1059 – Command and Scripting Interpreter)**
– **Persistence (T1547 – Boot or Logon Autostart Execution)**
– **Defense Evasion (T1027 – Obfuscated Files or Information)**
– **Command and Control (T1071 – Application Layer Protocol)**
– **Indicadores de Compromiso (IoC)**:
– Hashes de archivos maliciosos (SHA-256) compartidos por la comunidad de threat intelligence.
– Conexiones salientes a dominios C2 ofuscados bajo URLs aparentemente legítimas.
– Modificaciones en rutas como `C:UsersAppDataRoaming`.
– **Exploits conocidos**: Se han observado variantes integradas en frameworks como Metasploit y Cobalt Strike, aprovechando la modularidad para la escalada de privilegios y movimientos laterales tras el acceso inicial.

### 4. Impacto y Riesgos

La campaña de distribución de WebRAT a través de GitHub eleva exponencialmente el nivel de amenaza para analistas de seguridad, pentesters y administradores de sistemas. Se estima, según datos de VirusTotal y plataformas de inteligencia de amenazas, que más de un 20% de los PoC subidos a GitHub en las primeras 48 horas tras la publicación de un CVE crítico pueden contener algún tipo de carga maliciosa o backdoor.

El impacto potencial incluye:
– Compromiso de estaciones de trabajo corporativas.
– Robo de credenciales y exfiltración de información sensible.
– Uso de los equipos infectados como pivote para ataques internos, movimiento lateral y persistencia.
– Violaciones de la GDPR y posibles sanciones administrativas, especialmente en sectores regulados.

### 5. Medidas de Mitigación y Recomendaciones

– **Descarga segura**: Priorizar la revisión manual y el análisis estático/dinámico de cualquier PoC descargado, utilizando entornos aislados (sandbox, VM sin acceso a red).
– **Monitorización de IoC**: Integrar los hashes y dominios asociados a WebRAT en las plataformas SIEM y EDR.
– **Restricción de ejecución de scripts**: Aplicar políticas de ejecución restringida para PowerShell y scripts en los endpoints de desarrollo y análisis.
– **Educación y concienciación**: Alertar a los equipos de seguridad sobre la proliferación de PoC maliciosos en plataformas públicas.
– **Auditoría de accesos y logs**: Revisar periódicamente los logs de acceso y ejecución para detectar comportamientos anómalos.

### 6. Opinión de Expertos

Especialistas del sector, como el equipo de análisis de amenazas de Kaspersky y los investigadores de Recorded Future, subrayan la sofisticación creciente de estos ataques. “El uso de plataformas legítimas para distribuir malware reduce el umbral de confianza y dificulta la detección temprana, especialmente cuando el objetivo son profesionales del propio sector”, indica Alberto Redondo, analista jefe de ciberamenazas.

Además, se destaca que la tendencia a empaquetar cargas maliciosas en PoC públicos continuará en aumento mientras persista la demanda urgente de pruebas para vulnerabilidades críticas.

### 7. Implicaciones para Empresas y Usuarios

El uso de PoC infectados impacta directamente en la cadena de confianza de los procesos de análisis y respuesta a incidentes. Empresas que no implementen controles estrictos sobre el uso de código ajeno corren el riesgo de ver comprometidas sus redes internas. Desde la perspectiva de cumplimiento, la falta de medidas proactivas puede suponer incumplimientos graves de la GDPR y de la inminente directiva NIS2, con multas que pueden superar los 10 millones de euros.

Para los usuarios individuales, el riesgo es igualmente alto: la descarga y ejecución de PoC infectados puede comprometer claves SSH, credenciales almacenadas y datos personales, facilitando ataques dirigidos posteriores.

### 8. Conclusiones

La campaña de distribución de WebRAT a través de repositorios de GitHub evidencia la necesidad de extremar la cautela en la descarga y uso de PoC para vulnerabilidades recientes. La velocidad de respuesta frente a nuevas amenazas no debe comprometer los principios básicos de higiene en ciberseguridad. Es imperativo reforzar las políticas de análisis y ejecución de código de terceros, así como mantener actualizados los sistemas de defensa y las capacidades de threat intelligence.

(Fuente: www.bleepingcomputer.com)