SectopRAT

¿Qué es?

SectopRAT, también conocido como 1xxbot, ArechClient y ArechClient2, es un malware de tipo troyano de acceso remoto (RAT) con capacidades de backdoor, que se enfoca en infectar dispositivos Windows para obtener su control remoto y facilitar el robo de información sensible. Además, proporciona una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Permite el control remoto del sistema y las comunicaciones con la infraestructura de servidores de mando y control (C2).
Crea un escritorio secundario oculto y lo transmite a los atacantes para operar en paralelo sin que la víctima lo perciba.
Inicializa y ejecuta navegadores dentro de ese entorno oculto para establecer comunicaciones no legítimas.
Recopila datos de los navegadores, de billeteras de criptomonedas, de los perfiles de los sistemas (usuarios, SO, hardware...) y roba la información mediante la exfiltración a los servidores de mando y control (C2).
Permite el registro de logs y de la telemetría de acciones realizadas en el navegador, mediante funciones de browser logging.
Permite la evasión de su detección, mediante capacidades anti máquinas virtuales y anti emuladores reportadas en análisis públicos.
Genera persistencia mediante claves de Registro para ejecutarse al inicio y la copia en rutas de perfil de los usuarios.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de anuncios en sitios web comprometidos (malvertising), a través de enlaces a sitios web fraudulentos y a través del uso de droppers o loaders que inyectan su código malicioso.