Tecnologías en palabras simples

Neptune RAT Malware en Windows: Cuidado con los enlaces de YouTube y Telegram

Imagen destacada: el malware Neptune RAT afecta a PCs con Windows.

Neptune RAT es una de las amenazas de malware más inteligentes que atacan dispositivos Windows. Aprovecha sitios como YouTube y Telegram para eludir Windows Defender y otras herramientas antivirus. Sus efectos incluyen el bloqueo de archivos mediante ransomware, el robo de contraseñas y la eliminación del Registro de Arranque Maestro (MBR) de Windows 11. A pesar de su gravedad, proteger su dispositivo Windows de Neptune RAT es sorprendentemente fácil.

Lo que hace que Neptune RAT sea tan peligroso

El malware Neptune RAT fue descubierto por primera vez por la firma de seguridad Cyfirma. El “RAT” en su nombre significa Troyanos de Acceso Remoto. Es un archivo que, al abrirse, permite a un atacante controlar su computadora desde lejos. Normalmente, Windows bloquea estos intentos; para eso están los programas antivirus, después de todo.

Sin embargo, Neptune RAT es extremadamente astuto, ocultando su código dañino con palabras árabes y emojis, eludiendo su cortafuegos, Windows Defender y otras herramientas antivirus. Incluso sabe si estás utilizando una máquina virtual (VM). En el lado del usuario, invoca dos simples comandos de PowerShell para infectar tu PC:

  • irm (Invoke-RestMethod): extrae contenido como software de sitios web, como GitHub.
  • iex (Invoke-Expression): ejecuta el contenido descargado como un script.

Descargando el software de escritorio de GitHub usando el comando

En algún momento, un script por lotes llega a tus carpetas de Windows. Después de eso, tu computadora se conecta al servidor del atacante.

Un malware tan peligroso y persistente no se había visto en Windows en mucho tiempo. Utiliza muchos archivos DLL para alterar tu sistema. Pueden bloquear los datos de tu PC (ransomware), robar contraseñas de más de 270 programas como Chrome y Brave, captar todo lo que copias y pegas, cambiar tu configuración del registro y incluso borrar tu Registro de Arranque Maestro (MBR).

¿Lo peor? Neptune RAT se está propagando actualmente a través de las redes sociales: YouTube, GitHub, Telegram y otros enlaces. La mayoría de las personas confían inherentemente en YouTube, y por primera vez esa confianza se ha visto comprometida. Ahora es muy fácil para los hackers publicar un video diciendo: “Haz clic en el enlace debajo de la descripción del video para recibir $500 en efectivo”, y luego proporcionar un ejecutable de Neptune RAT que puede estar disfrazado en texto plano.

Soluciones para el malware Neptune RAT

Los peligros de Neptune RAT son muchos. Se escapa de cada herramienta de análisis de malware y no requiere descargas de archivos. A pesar de la enorme vulnerabilidad, las soluciones para los usuarios de Windows son bastante simples.

Para usuarios de Windows que conocen PowerShell

PowerShell emplea una característica llamada “modo de lenguaje restringido”, que limita la aplicación a realizar solo tareas básicas. Una vez indicado, ya no puede acceder a recursos web usando irm y iex, bloqueando así Neptune RAT.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

Para forzar la configuración de lenguaje restringido en todos los usuarios de tu PC, aplica lo siguiente:

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

Cambiando PowerShell a una configuración de lenguaje restringido para evitar comandos web.

Para deshacer la configuración anterior, simplemente regresa al modo de “lenguaje completo”, y podrás comenzar a descargar de nuevo los cmdlets irm e iex.

$ExecutionContext.SessionState.LanguageMode ="FullLanguage"

Hasta que Windows publique una solución adecuada, es mejor mantenerlos deshabilitados.

Hay otra opción. Si realmente no usas mucho PowerShell, puedes desactivar completamente el acceso de PowerShell a Internet. Después de esto, cuando intentes ejecutar los comandos irm/iex, generará un error en PowerShell.

New-NetFirewallRule -Name"BlockPowerShellOutbound"-DisplayName"Block PowerShell Outbound"-Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe"-Action Block

Bloqueando todas las conexiones de red salientes en PowerShell.

Para eliminar la regla de bloqueo a nivel de red, utiliza el siguiente comando:

Remove-NetFirewallRule -Name"BlockPowerShellOutbound"

Si bien no poder usar PowerShell para actividades en línea es un pequeño inconveniente, considerando la gravedad de la amenaza de Neptune RAT, veo esto como la mejor solución.

Para usuarios no técnicos

Si usas YouTube o Telegram en una computadora con Windows, puedes mantenerte a salvo de Neptune RAT evitando hacer clic en enlaces en descripciones de videos, incluso si los creadores de videos te lo piden. Pueden ofrecer descuentos o prometer solucionar problemas de seguridad. Aparecen mucho en videos de juegos o hacking ético, pero también pueden estar en clips de películas u otros temas. Debes dejar de hacer clic en enlaces desconocidos, incluso si amigos o familiares los comparten en las redes sociales.

Otras recomendaciones que tenemos para usuarios casuales de Windows que lidian con Neptune RAT:

  • Usa una aplicación de autenticación: en un dispositivo Windows, una aplicación de autenticación es la mejor manera de protegerse contra intrusos que intentan acceder a cuentas sensibles.
  • Usa soluciones de seguridad de punto final: la única forma en que se puede detectar malware sin archivos como Neptune RAT es utilizando software de seguridad de punto final como Microsoft Defender, que es diferente de Windows Security. Hacen un trabajo mucho mejor al responder a actividades sospechosas en PowerShell.

Contenido

  1. Lo que hace que Neptune RAT sea tan peligroso
  2. Soluciones para el malware Neptune RAT
  3. Para usuarios de Windows que conocen PowerShell
  4. Para usuarios no técnicos
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11