El nuevo ResokerRAT utiliza la API de Telegram Bot para controlar los sistemas Windows infectados

Se ha descubierto que un nuevo troyano de acceso remoto (RAT) llamado ResokerRAT ataca los sistemas Windows al abusar de la API Bot ampliamente utilizada de Telegram para recibir comandos y enviar datos robados a los atacantes. ResokerRAT incluye una amplia gama de capacidades dañinas, que incluyen captura de pantalla, registro de teclas, escalada de privilegios, bloqueo del Administrador de tareas y descarga de cargas útiles maliciosas adicionales en la máquina infectada.

Su investigación encontró que el ejecutable de malware, Resoker.exe, comienza su cadena de ataque inmediatamente después de la ejecución, ejecutando una serie de comprobaciones previas y rutinas de evasión antes de establecer contacto con el bot de Telegram del atacante. Resoker.exe (Fuente: K7 Security Labs) El equipo notó que el malware combina llamadas a la API de Windows con comandos ocultos de PowerShell para llevar a cabo sus tareas sin llamar la atención del usuario. Una vez que se ejecuta, Resoker.exe crea un mutex llamado "GlobalResokerSystemMutex" para garantizar que solo se ejecute una instancia del malware a la vez. Comando y control a través de Telegram El elemento más distintivo de ResokerRAT es el uso de la API de Telegram Bot como un canal completo de comando y control.

Mantener Windows y todo el software de seguridad actualizados es fundamental, ya que los parches ayudan a cerrar las brechas que explota el malware. La publicación El nuevo ResokerRAT utiliza la API de Telegram Bot para controlar los sistemas Windows infectados apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗