Villain

¿Qué es?

Villain es una herramienta legítima de hacking ofensivo (HackTool/VirTool) y framework de mando y control (C2) que, mediante payloads de post-explotación, se centra en permitir el acceso y control remoto y en generar y gestionar shells inversas y puertas traseras para operar sesiones en paralelo tras una intrusión. No se trata de un malware en sí mismo, pero los ciberdelincuentes la utilizan para llevar a cabo actividades maliciosas, por lo que, en detección y respuesta a incidentes, se suele tratar como malware que actúa, funcionalmente, como un troyano de acceso remoto (RAT) y backdoor.

¿Qué hace?

Esta herramienta tiene capacidad para realizar las siguientes acciones:

Gestiona múltiples sesiones de reverse shell (reverse TCP y HoaxShell) y comparte sesiones entre instancias en modo colaborativo.
Genera payloads para Windows y Linux mediante plantillas personalizables.
Permite la subida de ficheros (por HTTP) y ejecución en memoria (fileless) de scripts contra sesiones activas (típico de post-explotación).
Apoya el acceso remoto de HoaxShell en PowerShell y en comunicaciones web (peticiones HTTP) para recibir comandos y devolver instrucciones.
Permite la evasión de su detección mediante la ofuscación, la aleatorización y las transformaciones de cadenas.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.
Dispositivos con sistemas Linux.

¿Cómo me infecta?

Los atacantes acceden a los dispositivos con esta herramienta a través de campañas de phishing con archivos adjuntos maliciosos, a través de descargas de sitios web comprometidos y a través de la explotación de vulnerabilidades y fallos de seguridad en el sistema operativo y en aplicaciones desactualizadas.