Los piratas informáticos implementan ResokerRAT basado en Telegram con funciones de captura de pantalla y persistencia

Ha salido a la luz un nuevo troyano de acceso remoto conocido como ResokerRAT, que utiliza la API del bot de Telegram como canal de comunicación principal para monitorear y controlar silenciosamente las máquinas Windows infectadas. Resoker.exe (Fuente: K7 Security Labs) Sus capacidades van desde capturar capturas de pantalla y descargar archivos adicionales hasta deshabilitar las indicaciones de seguridad de Windows y bloquear el acceso del usuario a herramientas de diagnóstico como el Administrador de tareas.

Los analistas de K7 Security Labs identificaron el malware y notaron que una de sus primeras acciones tras la ejecución es crear un mutex llamado "GlobalResokerSystemMutex" utilizando la API CreateMutexW de Windows. Creación de Mutex (Fuente: K7 Security Labs) Este mutex actúa como un bloqueo simple, garantizando que solo se ejecute una instancia del malware en el sistema a la vez. Comprobación del depurador antianálisis (Fuente: K7 Security Labs) Si se encuentra un depurador, el malware activa una excepción personalizada para interrumpir cualquier análisis en curso. Mecanismo de persistencia (Fuente: K7 Security Labs) Esto garantiza que el malware se inicie automáticamente cada vez que se inicia la máquina.

Mensaje de confirmación de inicio (Fuente: K7 Security Labs) La comunicación entre el malware y el atacante fluye completamente a través de la API de Telegram Bot. La publicación Los piratas informáticos implementan ResokerRAT basado en Telegram con funciones de captura de pantalla y persistencia apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗