Breve biografía
Los troyanos de acceso remoto son programas que proporcionan la capacidad de permitir la vigilancia encubierta o la capacidad de obtener acceso no autorizado a un PC víctima. Los troyanos de acceso remoto suelen imitar comportamientos similares a los de las aplicaciones de registro de teclas, permitiendo la recopilación automática de pulsaciones de teclas, nombres de usuario, contraseñas, capturas de pantalla, historial del navegador, correos electrónicos, lotes de chat, etc. Los troyanos de acceso remoto se diferencian de los keyloggers en que proporcionan la capacidad para que un atacante obtenga acceso remoto no autorizado a la máquina víctima a través de protocolos de comunicación especialmente configurados que se establecen tras la infección inicial del ordenador víctima. Esta puerta trasera en el equipo de la víctima puede permitir al atacante un acceso sin restricciones, incluyendo la capacidad de supervisar el comportamiento del usuario, cambiar la configuración del equipo, navegar y copiar archivos, utilizar el ancho de banda (conexión a Internet) para posibles actividades delictivas, acceder a los sistemas conectados, y mucho más.
Historia
Aunque se desconoce la historia completa de los troyanos de acceso remoto, estas aplicaciones se han utilizado durante varios años para ayudar a los atacantes a establecer un punto de apoyo en un PC de la víctima. Entre los troyanos de acceso remoto más conocidos y consolidados se encuentran las aplicaciones SubSeven, Back Orifice y Poison-Ivy. Estos programas se remontan a mediados y finales de la década de 1990 y todavía se pueden ver en uso hasta el día de hoy.
La utilización exitosa de tales aplicaciones llevó a un número de diferentes aplicaciones que se producen en las décadas siguientes. A medida que las empresas de seguridad se dan cuenta de las tácticas utilizadas por los troyanos de acceso remoto, los autores de malware evolucionan continuamente sus productos para tratar de frustrar los mecanismos de detección más recientes.
Método de infección común
Los troyanos de acceso remoto pueden instalarse mediante una serie de métodos o técnicas, y serán similares a otros vectores de infección de malware. Los archivos adjuntos de correo electrónico especialmente diseñados, los enlaces web, los paquetes de descarga o los archivos .torrent podrían utilizarse como mecanismo para la instalación del software. Los ataques dirigidos por un atacante motivado pueden engañar a los objetivos deseados para que instalen dicho software a través de tácticas de ingeniería social, o incluso a través del acceso físico temporal del ordenador deseado.
Familias asociadas
Hay un gran número de troyanos de acceso remoto. Algunos son más conocidos que otros. SubSeven, Back Orifice, ProRat, Turkojan y Poison-Ivy son programas consolidados. Otros, como CyberGate, DarkComet, Optix, Shark y VorteX Rat tienen una distribución y utilización menores. Este es sólo un pequeño número de troyanos de acceso remoto conocidos, y una lista completa sería bastante extensa, y estaría en continuo crecimiento.
Remediación
Los troyanos de acceso remoto son encubiertos por naturaleza y pueden utilizar una estructura de nombre de archivo/ruta aleatoria para tratar de evitar la identificación del software. La instalación y ejecución de Malwarebytes Anti-Malware y Malwarebytes Anti-Exploit ayudarán a mitigar cualquier infección potencial mediante la eliminación de los archivos asociados y las modificaciones del registro, y/o evitar que el vector de infección inicial permita que el sistema se vea comprometido.
Secuelas
Los troyanos de acceso remoto tienen el potencial de recopilar grandes cantidades de información contra los usuarios de una máquina infectada. Si se encuentran programas de troyanos de acceso remoto en un sistema, debe asumirse que cualquier información personal (a la que se haya accedido en la máquina infectada) ha sido comprometida. Los usuarios deben actualizar inmediatamente todos los nombres de usuario y contraseñas desde un ordenador limpio, y notificar al administrador correspondiente del sistema el posible compromiso. Supervise cuidadosamente los informes de crédito y los extractos bancarios durante los meses siguientes para detectar cualquier actividad sospechosa en las cuentas financieras.
Evitar
Como en todos los casos, nunca haga clic en enlaces de correo electrónico o de sitios web de lugares desconocidos ni instale software a instancias de desconocidos. El uso de una solución antivirus y antimalware de buena reputación ayudará a garantizar que los troyanos de acceso remoto no puedan funcionar correctamente, y ayudará a mitigar cualquier recopilación de datos. Bloquee siempre los ordenadores públicos cuando no estén en uso y desconfíe de los correos electrónicos o las llamadas telefónicas que le pidan instalar una aplicación.