Remcos reaparece: El veterano RAT espía vuelve a ser una herramienta favorita de ciberdelincuentes.

RAT (Remote Access Trojan)

Objetivo Del Post.

#Situación:

▪️ Hace unos meses, exactamente tres o cuatro meses atrás, algo muy curioso sucedió. Una situación que me llevó a escribir este post y que, hasta hoy, no logro sacarme de la cabeza. Se trataba de una persona a la que consideraba de confianza, o al menos, de una confianza relativa. Podríamos decir que éramos amig@s, aunque la relación no era de esas que se pueden calificar de "íntima".

En fin, todo comenzó con una solicitud urgente de esta persona. Me escribió por WhatsApp, pidiéndome un favor que, en principio, parecía sencillo, pero que con el paso del tiempo comenzó a levantar ciertas alertas en mi mente.

El mensaje decía algo así como:
"Oye, necesito un favor urgente. ¿Podrías cambiarme un archivo de Word a PDF? Es realmente importante, por favor, hazlo cuanto antes."

▪️ Me pareció un poco raro que me pidiera algo tan básico y directo, especialmente porque esta persona tenía las herramientas necesarias para realizar esa conversión por sí misma. Conociendo sus conocimientos en tecnología, no necesitaba de mi ayuda para algo tan trivial.

Fue entonces cuando empecé a dudar. "Esto no cuadra", pensé. "¿Por qué tanta insistencia en algo que debería poder hacer sin problemas?" Mi instinto me decía que había algo más detrás de esta solicitud.

Decidí no darle demasiada importancia y acepté hacer el favor, pero bajo ciertas condiciones. Le pedí que me enviara el archivo a un correo electrónico específico. No eran mis correos principales, sino lo que se conoce como un "test email" que uso para situaciones como esta: para cosas sospechosas o potencialmente peligrosas.

Una vez recibido el archivo, mi siguiente paso fue abrirlo en un entorno aislado, en este caso específicamente en una consola virtual de Windows. Sabía que lo más prudente era no correr riesgos, así que me aseguré de no ejecutarlo directamente en ningunos de mis sistemas principales.

Tan pronto como el archivo comenzó a descargarse, algo raro sucedió. No fue necesario ejecutar el archivo para que comenzara a activarse. Sin intervención alguna, se comenzaron a activar procesos en segundo plano, lo que me hizo sospechar aún más.

Intrigado y decidido a descubrir qué estaba ocurriendo, empecé a investigar. Con paciencia, revisé los procesos y encontré una aplicación intentando ejecutar un archivo .exe. El pálpito de la situación me decía que no era nada bueno, pero quería confirmarlo.

Al seguir indagando, confirmé mis peores sospechas: el archivo ejecutable que se intentaba activar pertenecía a un software malicioso, concretamente a un RAT (Remote Access Trojan) llamado Remcos.

Para ser sincero, este troyano no era algo que conociera en profundidad. De hecho, aunque Remcos lleva tiempo circulando por la red, sigue siendo relativamente desconocido para muchas personas, incluidos muchos profesionales de la ciberseguridad. Entre tantos malware y RATs que existen, es casi imposible conocerlos todos.

Fue en este punto que decidí que debía escribir sobre esto. No solo porque había descubierto un software RAT tan potente como Remcos, sino también porque esta experiencia me dejó claro que muchas personas, incluso las que consideramos de confianza, pueden ser víctimas o, peor aún, ser cómplices en la distribución de malware.

Así que aquí estoy, compartiendo con ustedes mi experiencia y la información que obtuve sobre este troyano, con la esperanza de que sea útil para evitar que otros caigan en situaciones similares. La ciberseguridad hoy en día es más importante que nunca, y estar alerta es fundamental.

En cuanto a mi relación con la persona que me pidió el favor, me la reservo por el momento. Puede que aún el archivo que le regrese le este proporcionando muchos problemas en sus sistemas y dispositivos personales, quizás aun este intentando recuperar su valiosa información que seguramente nunca mas podrá recuperar, entre otras cosas, o puede que, simplemente, prefiera intentar jugar nuevamente conmigo en el futuro de manera más estratégica. Lo que esta claro es que este episodio me enseñó una valiosa lección sobre confianza la precaución y mi intuición para olfatear este tipo de situaciones sospechosas.

Remcos RAT: Descripción Completa.

Remcos (Remote Control System) es un RAT (Remote Access Trojan) que se utiliza para acceder y controlar de forma remota sistemas infectados. Desde su creación, Remcos ha sido ampliamente utilizado por ciberdelincuentes para realizar espionaje, robo de datos y otras actividades maliciosas en equipos comprometidos.

A continuación, se detalla qué es Remcos, cómo funciona, sus capacidades, quién lo desarrolló, su propósito original y cómo es utilizado hoy en día.

Qué es Remcos RAT.

Remcos es una herramienta de administración remota que fue creada inicialmente como un software legítimo, destinado a ofrecer control remoto sobre equipos de manera legal. Sin embargo, se ha convertido en un malware muy popular entre los ciberdelincuentes debido a su versatilidad y capacidad de operar de forma sigilosa.

Remcos se distribuye a menudo a través de campañas de phishing, archivos adjuntos maliciosos o exploits que aprovechan vulnerabilidades en software desactualizado. Una vez instalado en un sistema, permite al atacante tener un control casi total sobre la máquina afectada.

#Nota I.

▪️ Portales oficiales ampliamente reconocidos, como el blog de Malwarebytes y TechTarget, son fuentes autorizadas que ofrecen explicaciones técnicas detalladas sobre el funcionamiento de software malicioso, incluidos los RATs (Remote Access Trojans) y otros ejecutables que se utilizan como herramientas encubiertas. Estos portales proporcionan un análisis profundo de las distintas técnicas avanzadas de camuflaje empleadas para evitar la detección y lograr acceso o control remoto no autorizado a dispositivos. A través de guías y artículos especializados, exponen cómo estos programas maliciosos aprovechan vulnerabilidades para infiltrarse en sistemas, y explican las mejores prácticas para prevenir su impacto en entornos de seguridad digital.

Malwarebites.com: Definición de RAT
Techtarget.com: Definición de RAT

#Nota II.

▪️ Si bien es cierto que en el caso del software malicioso Remcos, la mayoría de las técnicas de hackeo requieren la intervención o colaboración involuntaria de la víctima, quien, por desconocimiento, descarga y ejecuta el archivo en su dispositivo, también existen métodos más avanzados que automatizan este proceso. A través de scripts maliciosos, es posible llevar a cabo todo el mecanismo de forma predeterminada, desde la descarga del software hasta su ejecución en el sistema de la víctima, sin necesidad de interacción directa.

No me detendré a explicar en detalle estas técnicas, ya que el objetivo de este artículo no es enseñar cómo vulnerar sistemas, sino brindar información educativa y preventiva. A continuación, me enfocaré en los aspectos técnicos clave que te ayudarán a detectar y protegerte de este tipo de ataques.

Cómo Funciona Remcos.

Infección Inicial:

Vía Phishing: Los atacantes suelen enviar correos electrónicos maliciosos con archivos adjuntos, como documentos de Office con macros maliciosas o archivos PDF. Cuando la víctima abre el archivo y habilita el contenido, el malware se ejecuta y comienza a infectar el sistema.
Explotación de Vulnerabilidades: En algunos casos, Remcos puede aprovechar vulnerabilidades en software desactualizado (como versiones antiguas de Adobe Reader, Microsoft Office o navegadores web) para infectar un sistema sin que la víctima lo note.

Instalación y Persistencia:

Una vez ejecutado, Remcos instala su agente en el sistema de la víctima. Este agente permite que el malware se ejecute en cada inicio del sistema, asegurando persistencia y un control continuo para el atacante.
Modificación del Registro de Windows: Para mantenerse oculto, Remcos puede modificar el Registro de Windows para asegurarse de que se ejecute automáticamente al iniciar el sistema operativo.

Comunicación con el Servidor C2 (Command and Control):

Después de infectar el sistema, Remcos se conecta a un servidor C2 (Command and Control) controlado por el atacante. Esta conexión permite al atacante enviar comandos a la máquina infectada, recopilar datos y controlar el sistema de manera remota.
La comunicación entre Remcos y el servidor C2 puede estar cifrada, lo que hace más difícil para los sistemas de seguridad interceptar o detectar esta actividad.

Acciones Realizadas por el RAT:

Una vez activo, Remcos permite a los atacantes realizar una amplia variedad de actividades maliciosas, tales como:

Keylogging: Registra todas las pulsaciones de teclas, lo que permite capturar contraseñas, mensajes y otra información sensible.
Captura de Pantalla: El atacante puede ver en tiempo real lo que ocurre en el dispositivo infectado.
Acceso a Archivos: Permite buscar, descargar, modificar o eliminar archivos en el sistema de la víctima.
Control de Cámara y Micrófono: Puede activar la cámara web y el micrófono de forma oculta, permitiendo espiar a la víctima.
Ejecución de Comandos: Remcos puede ejecutar comandos directamente en el sistema operativo, lo que le otorga un control total del dispositivo.
Robo de Contraseñas: Remcos puede capturar y robar contraseñas almacenadas en navegadores, correos electrónicos o gestores de contraseñas.

▪️ Estuve investigando sobre este software Remcos RAT (Remote Access Trojan) en varios portales especializados en ciberseguridad, incluyendo blogs y foros. Durante mi búsqueda, encontré un video en YouTube que resulta ser una explicación clara, concisa y metodológicamente bien estructurada, ofrecida por el YouTuber español s4vitar, experto en informática, Kali Linux y hacking ético. En el video, se presenta una demostración precisa de las capacidades y el potencial peligro de este tipo de software.

Invito a todos los interesados en comprender los riesgos asociados con un ataque de este tipo, ya sea mediante Remcos RAT o software similar, a ver este video. Es fundamental que se entienda la magnitud del problema y el peligro que representan estas herramientas para organizaciones, empresas e instituciones tanto públicas como privadas. Esto incluye a estaciones de policía, bomberos, departamentos de investigación, sistemas penitenciarios, sistemas judiciales, instituciones bancarias, ministerios, instituciones militares, escuelas, universidades, hospitales, y cualquier entidad que maneje bases de datos sensibles. Además, es una advertencia crucial para la seguridad de dispositivos personales.

En el video, S4vitar menciona tres herramientas en línea que son útiles para analizar archivos comprimidos que podrían estar infectados por algún tipo de software malicioso. Estas herramientas permiten realizar un escaneo detallado y detectar posibles amenazas antes de que los archivos se ejecuten en el sistema. Las herramientas mencionadas son las siguientes:

¿Quién Desarrolló Remcos?.

Remcos fue desarrollado por una compañía llamada Breaking Security, una entidad que comercializa varias herramientas de administración remota. Aunque inicialmente se comercializó como una herramienta legítima para administradores de sistemas y profesionales de TI, rápidamente fue adoptado por ciberdelincuentes para fines maliciosos debido a su versatilidad y capacidad de operar sin ser detectado.

Breaking Security afirma que su software está diseñado para fines legítimos, como la gestión remota de sistemas, la asistencia técnica o la administración de redes. Sin embargo, como con muchas herramientas de administración remota, ha sido abusada para actividades ilícitas.

Fecha de Creación y Evolución.

Remcos fue lanzado en 2016 como un software de control remoto, similar a otras herramientas como TeamViewer o AnyDesk, pero con características que lo hacen más atractivo para el uso malicioso. Desde entonces, ha evolucionado con el tiempo, adaptándose a nuevas medidas de seguridad y evadiendo detecciones de antivirus mediante técnicas avanzadas de ofuscación.

A lo largo de los años, se ha utilizado en diversas campañas de ataques, desde espionaje cibernético hasta robo de datos financieros. Debido a su capacidad de operar de manera sigilosa, ha sido muy difícil de detectar para muchas soluciones de seguridad, lo que lo hace muy atractivo para los atacantes.

Capacidades de Remcos RAT.

Remcos es una de las herramientas más poderosas dentro de la categoría de RATs. Entre sus principales capacidades destacan:

Keylogging: Registra todas las pulsaciones de teclado para obtener información sensible.
Control Total del Sistema: Puede ejecutar comandos de shell (CLI), abrir programas, descargar o eliminar archivos.
Supervisión de Audio y Video: Puede activar y controlar remotamente la cámara y el micrófono.
Captura de Pantalla: Permite ver en tiempo real lo que sucede en el dispositivo infectado.
Gestión de Archivos: El atacante puede navegar por el sistema de archivos, buscar documentos sensibles y transferir datos.
Ofuscación y Evasión: Remcos emplea técnicas avanzadas de ofuscación para evadir la detección por software antivirus y sistemas de seguridad.

Cómo se Utiliza Remcos.

Ataques de Phishing: En la mayoría de los casos, Remcos se distribuye mediante correos electrónicos de phishing que contienen archivos adjuntos maliciosos o enlaces a sitios web comprometidos.
Explotación de Vulnerabilidades: A veces se utiliza en combinación con exploits que aprovechan fallos en el software de la víctima para infiltrarse en su sistema.
Troyano Bancario: Remcos también ha sido utilizado en campañas de malware financiero, donde los atacantes roban credenciales bancarias y realizan fraudes financieros.
Espionaje Cibernético: Grupos de hackers lo han utilizado para espiar a víctimas de alto perfil, como empresas, gobiernos y activistas.

Propósito Original y Uso Malicioso.

Propósito Original: El propósito declarado por sus creadores era proporcionar una herramienta de control remoto para administradores de sistemas, permitiéndoles realizar tareas de gestión, supervisión y soporte técnico de forma remota.

Uso Malicioso: Sin embargo, Remcos ha sido utilizado de manera predominante para el control remoto malicioso. Al ser tan potente, muchos atacantes lo emplean para:

Obtener acceso no autorizado a sistemas de manera clandestina.
Robar datos confidenciales.
Espiar a los usuarios sin que se den cuenta.

Conclusión.

▪️ Remcos RAT es una herramienta de control remoto que, aunque fue diseñada para fines legítimos, ha sido ampliamente utilizada por ciberdelincuentes para llevar a cabo actividades maliciosas. Permite a los atacantes tener un control total sobre un sistema comprometido, ejecutar comandos, robar datos sensibles y espiar a las víctimas.

Dado su poder y capacidad de evadir la detección, Remcos sigue siendo una amenaza significativa en el ámbito de la ciberseguridad. Si sospechas que tu sistema puede estar infectado con Remcos, es fundamental realizar un análisis profundo de tu sistema con herramientas anti-malware especializadas y tomar medidas para asegurar tus redes y dispositivos.

▪️ Existen varias herramientas especializadas que pueden ayudarte a detectar y eliminar el RAT Remcos de un sistema infectado. Estas herramientas incluyen antivirus, anti-malware, análisis de tráfico de red y software especializado en la detección de actividades sospechosas. A continuación, te presento una lista de las herramientas más efectivas:

1. Antivirus y Anti-Malware

Malwarebytes Anti-Malware:

Una de las herramientas más efectivas para detectar y eliminar Remcos y otros RATs. Malwarebytes realiza escaneos profundos, detectando malware oculto en el sistema.
Además, tiene características avanzadas para prevenir ataques futuros mediante el uso de protección en tiempo real.

Bitdefender:

Bitdefender es conocido por su potente motor de detección de malware y ofrece una solución integral para detectar amenazas como Remcos. Detecta tanto la actividad del malware como sus componentes subyacentes.

Kaspersky Internet Security:

Kaspersky ofrece capacidades avanzadas de análisis de tráfico de red y detección de malware. Puede identificar patrones de comportamiento asociados con RATs como Remcos, que realizan actividades maliciosas a nivel de sistema.

ESET NOD32:

ESET es conocido por su bajo impacto en el rendimiento del sistema y por su sólida capacidad de detección de malware avanzado. Proporciona análisis heurísticos y basados en firmas que pueden detectar Remcos antes de que se ejecute.

2. Análisis de Tráfico de Red

Wireshark:

Wireshark es una herramienta poderosa de análisis de tráfico de red que te permite capturar y analizar el tráfico de red para identificar comportamientos sospechosos asociados con Remcos. Puedes monitorear conexiones inusuales entre el sistema comprometido y servidores remotos que podrían estar controlando el RAT.

Netstat (Herramienta integrada en Windows):

netstat permite inspeccionar las conexiones de red activas en tu sistema. Remcos suele comunicarse con un servidor de Command and Control (C2). Puedes usar netstat para detectar conexiones persistentes a direcciones IP desconocidas o no autorizadas.
Comando útil:

netstat -ano | findstr :puerto

Esto muestra el PID (identificador del proceso) asociado con las conexiones de red, lo que te permitirá rastrear el proceso que está generando tráfico sospechoso.

3. Análisis de Procesos y Archivos

Process Explorer (Sysinternals):

Process Explorer es una herramienta avanzada para analizar todos los procesos en ejecución en tu sistema. Te permite identificar procesos desconocidos o sospechosos asociados con el malware, y puedes rastrear qué archivos están abiertos o qué conexiones de red están siendo utilizadas.
Esta herramienta es especialmente útil para detectar si el malware Remcos se ha disfrazado como un proceso legítimo del sistema.

Autoruns (Sysinternals):

Autoruns permite revisar todos los programas que se inician automáticamente con Windows. Los RAT como Remcos a menudo se configuran para ejecutarse al inicio del sistema. Con Autoruns, puedes identificar y deshabilitar entradas sospechosas que no reconozcas.

4. Herramientas Anti-RAT Especializadas

RogueKiller:

RogueKiller es una herramienta de seguridad que escanea el sistema en busca de malware avanzado, incluyendo RATs como Remcos. Tiene un enfoque en la detección de rootkits y malware que persisten utilizando técnicas avanzadas de evasión.

SpyHunter:

SpyHunter es una herramienta anti-malware especializada que se enfoca en la detección de spyware, keyloggers, y RATs. Está diseñada para identificar amenazas persistentes que no son detectadas fácilmente por otras soluciones de seguridad.

Zemana AntiMalware:

Zemana es otra herramienta especializada en la eliminación de malware, incluyendo RATs. Ofrece escaneos basados en la nube, lo que le permite detectar rápidamente nuevas variantes de malware como Remcos.

5. Escaneo de Rootkits y Herramientas Forenses

GMER:

GMER es una herramienta especializada en la detección de rootkits, que son una técnica común utilizada por los RATs como Remcos para ocultar su presencia en el sistema. GMER puede detectar comportamientos sospechosos en el núcleo del sistema operativo.

Kaspersky TDSSKiller:

Específicamente diseñado para eliminar rootkits y otros malware que operan a nivel del kernel. TDSSKiller es capaz de detectar componentes ocultos de Remcos si utiliza estas técnicas para persistir en el sistema.

ESET SysInspector:

ESET SysInspector es una herramienta de análisis forense que genera informes detallados sobre el sistema. Te permite examinar cambios inusuales en procesos, drivers, servicios y entradas de registro, lo que puede ayudarte a identificar actividades asociadas con Remcos.

6. Herramientas de Detección y Análisis de Anomalías

Cuckoo Sandbox:

Cuckoo Sandbox es una herramienta avanzada que permite ejecutar archivos sospechosos en un entorno virtual y analizar su comportamiento. Si tienes un archivo que sospechas que está infectado con Remcos, puedes utilizar esta herramienta para ver cómo actúa sin comprometer tu sistema real.

Any.Run:

Es una sandbox en línea que permite analizar archivos sospechosos de forma interactiva. Puedes cargar un archivo potencialmente malicioso y observar su comportamiento en tiempo real para verificar si está relacionado con Remcos.

7. Firewall y Monitorización de Actividades de Red

GlassWire:

GlassWire es una herramienta de monitoreo de red que permite visualizar las conexiones de red en tiempo real. Si un RAT como Remcos está operando en tu sistema, podrás observar conexiones persistentes y poco comunes a servidores externos. Además, GlassWire te permite bloquear manualmente conexiones sospechosas.

ZoneAlarm Firewall:

ZoneAlarm es un firewall que ofrece control granular sobre las conexiones entrantes y salientes. Puede ayudar a bloquear intentos de comunicación entre Remcos y su servidor de control.

#Nota III.

Para el caso de Windows existe una herramienta llamada TCPView herramienta avanzada de diagnóstico de red desarrollada por Microsoft Sysinternals. Su función principal es proporcionar una vista detallada y en tiempo real de todas las conexiones TCP y UDP activas en un sistema operativo Windows. Es una utilidad poderosa para monitorear el tráfico de red y supervisar las actividades de las aplicaciones que utilizan la red.

Descripción de TCPView.

TCPView permite a los usuarios observar de manera exhaustiva todas las conexiones de red activas, mostrando información clave sobre cada conexión, como:

Dirección local y remota: Muestra la dirección IP local y remota, junto con los puertos utilizados en cada conexión.
Estado de la conexión: Indica el estado de cada conexión, como ESTABLISHED, LISTENING, TIME_WAIT, etc.
Proceso asociado: Presenta el nombre del proceso (y su ID) que está utilizando cada conexión, lo que facilita la identificación de programas sospechosos o maliciosos que están interactuando con la red.

Características Principales:

Monitoreo en tiempo real: Muestra todas las conexiones TCP/UDP en el momento en que se realizan, lo que permite la supervisión continua.
Información detallada: Proporciona detalles sobre los procesos que están usando las conexiones, facilitando la identificación de procesos que podrían estar comprometiendo la seguridad de un sistema.
Filtros personalizables: Permite filtrar y ordenar la información por dirección IP, puerto o estado de la conexión, lo que ayuda a gestionar y analizar el tráfico de red de manera eficiente.
Cierre de conexiones sospechosas: Los usuarios pueden cerrar manualmente conexiones específicas directamente desde la interfaz de TCPView si consideran que son maliciosas o no autorizadas.
Compatibilidad con IPv6: Soporta tanto las conexiones basadas en IPv4 como las de IPv6, lo que es esencial en redes modernas.

Uso Típico:

Detección de malware y RATs: Es una herramienta ideal para detectar actividades maliciosas en el sistema, como la presencia de RATs (Remote Access Trojans) que se comunican con servidores remotos.
Solución de problemas de red: Ayuda a identificar cuellos de botella, conflictos de puertos y aplicaciones que están utilizando el ancho de banda de manera ineficiente.
Monitoreo de seguridad: Facilita la detección de accesos no autorizados, conexiones no deseadas o sospechosas y problemas de privacidad.

Puedes descargar TCPView desde el sitio oficial de Microsoft Sysinternals, una colección de herramientas avanzadas de diagnóstico para Windows desarrollada por Microsoft. TCPView es una herramienta que te permite monitorizar en tiempo real todas las conexiones TCP y UDP activas en tu sistema, útil para detectar conexiones sospechosas o maliciosas.

Pasos para descargar TCPView:

Visita la página oficial de Sysinternals:

El enlace directo a la página de descarga de TCPView es: https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview

Descarga el archivo:

Haz clic en el botón Download TCPView que aparece en la página.

Descomprimir el archivo:

El archivo descargado será un archivo comprimido (.zip). Debes extraer su contenido utilizando herramientas como WinRAR, 7-Zip o el explorador de Windows.

Ejecuta TCPView:

Una vez extraído el contenido, encontrarás el archivo Tcpview.exe. Haz doble clic en este archivo para ejecutarlo. No requiere instalación, puedes ejecutarlo directamente.

Requisitos:

TCPView es compatible con todas las versiones modernas de Windows, desde Windows 7 hasta Windows 11.

Es una herramienta muy ligera y no consume muchos recursos, lo que la hace ideal para supervisar el tráfico de red sin afectar el rendimiento del sistema.

Al ejecutar la Herramienta Avanzada TCPView en un entorno Windows podrás visualizar una ventana similar a la siguiente imagen de ejemplo, donde podrás verificar en tiempo real las conexiones de red que se están ejecutando en tu equipo:

TCPView Captura

▫️ Para concluir este artículo, es esencial entender la importancia de mantenerse informado y preparado en un mundo digital en constante evolución. Las amenazas cibernéticas están siempre presentes, y es nuestra responsabilidad aplicar buenas prácticas de seguridad para protegernos. Al conocer las herramientas, técnicas y métodos disponibles, podemos defendernos de ataques y garantizar la integridad de nuestros datos. La ciberseguridad no es solo una prioridad para las organizaciones, sino también una necesidad personal. Mantente vigilante y educado para salvaguardar tu seguridad en línea.