### Atacantes emplean archivos de texto sin formato para desplegar RATs y evadir soluciones de defensa
#### Introducción
En el panorama actual de amenazas, los actores maliciosos continúan perfeccionando sus técnicas para evadir las soluciones de seguridad tradicionales y maximizar la eficacia de sus campañas. Recientemente, investigadores han detectado un método innovador en el que los atacantes emplean archivos de texto sin formato como vector principal para desplegar troyanos de acceso remoto (RAT), sorteando así mecanismos de defensa convencionales y aprovechando herramientas nativas del propio sistema objetivo.
#### Contexto del Incidente o Vulnerabilidad
La metodología observada representa una evolución significativa en las tácticas de entrega de malware. Tradicionalmente, los RAT se distribuyen mediante archivos ejecutables, macros maliciosas o exploits empaquetados en documentos ofimáticos. Sin embargo, la reciente oleada de ataques utiliza archivos de texto aparentemente inofensivos —sin extensiones ejecutables ni contenido binario sospechoso— como canal inicial para la infección.
Este enfoque permite a los atacantes eludir los motores de análisis estático y muchas soluciones antimalware que centran su atención en archivos ejecutables o documentos con macros. Además, disminuye la probabilidad de detección durante la fase de filtrado de correo electrónico o transferencia de archivos.
#### Detalles Técnicos
##### Vector de Ataque y Tácticas
El proceso de infección se inicia con la entrega de un archivo de texto simple, que puede tener extensiones como `.txt` o incluso sin extensión aparente. Este archivo contiene instrucciones codificadas, comandos en PowerShell o scripts que, en sí mismos, no resultan dañinos hasta ser ejecutados en el entorno de la víctima.
Algunos casos han sido asociados a campañas identificadas bajo el CVE-2023-36884, donde los atacantes aprovechan la ingeniería social para persuadir al usuario de ejecutar los comandos que figuran en el archivo. El despliegue del RAT se produce mediante la invocación de utilidades legítimas del sistema, como PowerShell, Windows Script Host o incluso herramientas como `curl` o `bitsadmin` para descargar payloads adicionales.
Las TTPs (Tácticas, Técnicas y Procedimientos) observadas se alinean con las referencias MITRE ATT&CK siguientes:
– **T1059**: Command and Scripting Interpreter
– **T1566**: Phishing
– **T1204**: User Execution
– **T1105**: Ingress Tool Transfer
Los indicadores de compromiso (IoC) incluyen hashes de los archivos RAT descargados, direcciones IP de comando y control (C2), y patrones de uso de utilidades nativas para la descarga y ejecución.
##### Herramientas y Frameworks
En la fase de post-explotación, se han detectado RATs conocidos como **QuasarRAT**, **njRAT** y variantes personalizadas, algunas de ellas empaquetadas o ofuscadas usando herramientas como **Obfuscator.NET**. El uso de frameworks de ataque como **Metasploit** o **Cobalt Strike** se ha documentado en las etapas posteriores, facilitando la persistencia y el movimiento lateral dentro de la red comprometida.
#### Impacto y Riesgos
Este tipo de ataques representa un riesgo elevado para las organizaciones, ya que:
– **Evasión de defensa**: Los archivos de texto pasan desapercibidos tanto en análisis perimetrales como en soluciones EDR/AV estándar.
– **Compromiso de sistemas críticos**: Al aprovechar utilidades del propio sistema (living-off-the-land binaries o LOLBins), los atacantes minimizan los rastros de actividad anómala.
– **Riesgo de escalada**: Una vez establecido el acceso remoto, los atacantes pueden exfiltrar información, desplegar ransomware o realizar movimientos laterales.
Según estimaciones recientes, cerca del 12% de las campañas de RAT detectadas en el primer trimestre de 2024 emplearon vectores de entrega basados en archivos de texto.
#### Medidas de Mitigación y Recomendaciones
Para mitigar estos riesgos, se recomienda:
– **Deshabilitar la ejecución automática de scripts** mediante políticas de grupo (GPO).
– **Restringir el uso de utilidades como PowerShell, curl y bitsadmin** a usuarios y procesos estrictamente necesarios.
– **Implementar soluciones EDR con capacidad de análisis de comportamiento** y detección de LOLBins.
– **Sensibilización y formación** a usuarios para evitar la ejecución de comandos desconocidos extraídos de archivos de texto.
– **Monitorización de logs** en busca de patrones inusuales de ejecución de utilidades del sistema.
– **Aplicación estricta de la política de mínimos privilegios** en cuentas de usuario y administración.
#### Opinión de Expertos
Analistas de amenazas del sector, como los equipos de respuesta de CERT-EU y analistas de Mandiant, coinciden en señalar que el uso de archivos de texto para la entrega inicial de RAT representa una tendencia preocupante. “La confianza en herramientas nativas y la ingeniería social aumenta la superficie de ataque y complica la detección. Este es un claro ejemplo de cómo los actores avanzados adaptan sus técnicas para sortear los controles de seguridad más implantados”, indica un analista senior de un SOC español.
#### Implicaciones para Empresas y Usuarios
El empleo de estos métodos puede poner en jaque el cumplimiento normativo, especialmente bajo el marco de **GDPR** y la directiva **NIS2**, que exigen la protección proactiva de datos y la notificación de incidentes. Las empresas deben revisar sus controles de seguridad, actualizar sus procedimientos de respuesta y reforzar la concienciación del usuario final.
Además, la adopción de medidas de Zero Trust y la segmentación de red pueden limitar el alcance de una intrusión en caso de que las primeras capas de defensa fallen ante este tipo de vectores.
#### Conclusiones
La sofisticación en la entrega de RATs mediante archivos de texto sin formato subraya la necesidad de evolucionar los controles de seguridad y los procesos de formación en las organizaciones. El enfoque de los atacantes en evadir la detección mediante el abuso de utilidades legítimas y la ingeniería social exige una respuesta integral basada en la visibilidad, la monitorización y la concienciación.
(Fuente: www.darkreading.com)