LabubaRAT: el nuevo malware en Rust que suplanta a NVIDIA

Iniciado por Dragora, Hoy a las 12:22:44 PM

Tema anterior - Siguiente tema

b3l3r0f0nt3 y 12 Visitantes están viendo este tema.


Los investigadores de ciberseguridad han identificado un nuevo troyano de acceso remoto (Remote Access Trojan o RAT) denominado LabubaRAT, una amenaza avanzada desarrollada en Rust que utiliza la identidad de NVIDIA para infiltrarse en sistemas Windows y proporcionar a los atacantes un acceso remoto completo a los equipos comprometidos.

El análisis, publicado por los expertos de Blackpoint Cyber, revela que este malware destaca por su arquitectura flexible, su capacidad para adaptarse a distintas campañas de ataque y el uso de múltiples canales de comunicación para mantener el control sobre los dispositivos infectados incluso cuando alguno de sus métodos de conexión es bloqueado.

Además, las características observadas durante la investigación sugieren que LabubaRAT podría estar siendo distribuido bajo un modelo de Malware como Servicio (MaaS), lo que facilitaría que distintos ciberdelincuentes puedan utilizar la misma plataforma para ejecutar campañas personalizadas contra empresas y usuarios de todo el mundo.

¿Qué es LabubaRAT?

LabubaRAT es un troyano de acceso remoto diseñado para ofrecer a los operadores un control prácticamente total sobre los sistemas comprometidos.

A diferencia de muchas amenazas tradicionales, este malware no depende de configuraciones estáticas ni de servidores codificados directamente en su código fuente. En su lugar, fue diseñado como un framework modular, permitiendo reutilizar el mismo ejecutable en diferentes operaciones sin necesidad de recompilar el malware.

Esta flexibilidad convierte a LabubaRAT en una herramienta altamente atractiva para grupos criminales que buscan reducir el tiempo de preparación de nuevas campañas y modificar rápidamente su infraestructura de comando y control.

Suplantación de software legítimo de NVIDIA

El punto de entrada identificado por Blackpoint Cyber corresponde a un archivo denominado:

  • nvidia-sysruntime.exe

El nombre fue cuidadosamente elegido para simular pertenecer al NVIDIA Container Runtime, un componente legítimo ampliamente utilizado en entornos de virtualización y contenedores.

Esta técnica de suplantación aumenta significativamente las probabilidades de que administradores y usuarios ejecuten el archivo sin sospechar que se trata de software malicioso.

El empleo de nombres asociados con fabricantes tecnológicos reconocidos continúa siendo una de las estrategias más efectivas de ingeniería social utilizadas por los ciberdelincuentes.

Configuración dinámica para cada campaña

Uno de los aspectos más innovadores de LabubaRAT es que no incorpora información fija sobre su infraestructura de Comando y Control (C2).

En lugar de ello, recibe todos los parámetros durante su ejecución mediante argumentos de línea de comandos.

Entre los datos configurables destacan:

  • Dirección del servidor C2.
  • Intervalos de comunicación.
  • Parámetros de autenticación.
  • Identificadores de campaña.
  • Configuración personalizada para cada víctima.

Alternativamente, toda esta información puede suministrarse mediante un único argumento codificado en Base64, simplificando aún más el despliegue del malware.

Gracias a esta arquitectura, un mismo binario puede utilizarse simultáneamente en diferentes campañas dirigidas a organizaciones completamente distintas.

Almacenamiento local mediante SQLite

Una vez inicializado, LabubaRAT almacena la configuración recibida dentro de una base de datos SQLite local.

Esta decisión permite conservar información crítica incluso después de reinicios del sistema, facilitando que el malware continúe operando sin requerir una nueva configuración por parte del atacante.

Además, el uso de SQLite representa una alternativa ligera, rápida y ampliamente compatible con sistemas Windows.

Perfilado completo del sistema comprometido

Antes de ejecutar acciones más agresivas, LabubaRAT realiza un exhaustivo reconocimiento del entorno comprometido.

El objetivo consiste en determinar qué herramientas de seguridad están presentes y adaptar su comportamiento para reducir el riesgo de detección.

Entre la información recopilada se encuentran:

Navegadores instalados

El malware verifica la presencia de navegadores ampliamente utilizados como:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Brave

Esta información puede utilizarse posteriormente para realizar robo de credenciales, cookies o sesiones autenticadas.

Soluciones de seguridad

LabubaRAT también identifica numerosos productos de protección empresarial, entre ellos:

  • Microsoft Defender
  • CrowdStrike
  • SentinelOne
  • Sophos
  • Carbon Black
  • Malwarebytes
  • Bitdefender
  • ESET
  • Kaspersky
  • McAfee
  • Symantec
  • Trend Micro

Conocer qué solución antivirus está instalada permite modificar la ejecución de determinadas funciones o evitar comportamientos que puedan activar mecanismos de detección.

Información del hardware

El malware recopila además:

  • Nombre del equipo.
  • Modelo del procesador.
  • Cantidad de memoria RAM.
  • Estado del Control de Cuentas de Usuario (UAC).

Estos datos ayudan al operador a evaluar el valor del sistema comprometido y decidir los siguientes pasos del ataque.

Capacidades del nuevo RAT

LabubaRAT ofrece un conjunto de funcionalidades propias de plataformas avanzadas de administración remota utilizadas por actores de amenazas sofisticados.

Entre sus capacidades destacan:

Ejecución remota de comandos

Los atacantes pueden ejecutar instrucciones directamente sobre el sistema comprometido utilizando la consola de Windows.

Ejecución de PowerShell

El malware admite la ejecución remota de scripts PowerShell, permitiendo automatizar ataques, descargar herramientas adicionales o modificar configuraciones del sistema.

Ejecución de JavaScript

También soporta scripts JavaScript, ampliando las posibilidades para ejecutar cargas útiles personalizadas.

Captura de pantalla

LabubaRAT puede obtener capturas de pantalla periódicas del escritorio para monitorizar la actividad del usuario y recopilar información sensible.

Gestión completa de archivos

Los operadores pueden:

  • Descargar archivos.
  • Subir documentos.
  • Eliminar información.
  • Mover archivos entre directorios.
  • Administrar el contenido del sistema remoto.

Proxy SOCKS5

Una característica especialmente relevante es el soporte para SOCKS5, que permite utilizar el equipo comprometido como punto intermedio para redirigir tráfico de red.

Esto facilita el movimiento lateral dentro de organizaciones y dificulta el rastreo de la actividad del atacante.

Múltiples canales de comunicación para evitar interrupciones

Uno de los elementos más sofisticados del malware es la incorporación de varios métodos de comunicación simultáneos con el servidor de comando y control.

LabubaRAT admite:

  • HTTPS
  • WebView2
  • Túneles DNS

Gracias a esta redundancia, si una organización bloquea uno de los canales, el malware puede continuar comunicándose mediante otro mecanismo disponible.

Esta estrategia incrementa notablemente la resiliencia de la amenaza frente a herramientas tradicionales de seguridad perimetral.

Persistencia y mantenimiento del acceso

Además de proporcionar acceso remoto inmediato, LabubaRAT incorpora mecanismos que permiten mantener el control del sistema a nivel de usuario.

Según Blackpoint Cyber, el malware fue diseñado para:

  • Registrar nuevos equipos comprometidos.
  • Mantener información local del sistema.
  • Adaptarse al entorno.
  • Garantizar el reinicio automático.
  • Continuar operando durante largos periodos.

Todo ello elimina la necesidad de instalar herramientas adicionales para conservar el acceso inicial.

¿Malware como Servicio (MaaS)?

Los investigadores encontraron diversos indicios que apuntan a que LabubaRAT podría estar comercializándose bajo un modelo de Malware-as-a-Service (MaaS).

Este tipo de plataformas permite que distintos ciberdelincuentes alquilen el malware mediante suscripciones, obteniendo acceso a:

  • Paneles de administración.
  • Infraestructura C2.
  • Actualizaciones automáticas.
  • Gestión de campañas.
  • Soporte técnico.

En este caso, una de las pistas más relevantes fue el nombre LabubaPanel, asociado a la infraestructura de comando y control utilizada por la amenaza, además de un favicon con la temática del popular personaje Labubu.

¿Por qué Rust se ha convertido en el lenguaje favorito para desarrollar malware?

Durante los últimos años, Rust ha ganado una enorme popularidad entre desarrolladores legítimos gracias a su seguridad de memoria, rendimiento y portabilidad. Sin embargo, esas mismas características también han despertado el interés de los ciberdelincuentes.

Las principales ventajas que ofrece Rust para la creación de malware incluyen:

  • Mayor dificultad para el análisis estático.
  • Binarios optimizados y de alto rendimiento.
  • Compatibilidad multiplataforma.
  • Menor cantidad de firmas conocidas por soluciones antivirus.
  • Gestión eficiente de memoria sin necesidad de recolector de basura.

Como resultado, cada vez más familias de malware modernas están siendo desarrolladas total o parcialmente utilizando este lenguaje.

Recomendaciones para protegerse frente a LabubaRAT

Las organizaciones pueden reducir significativamente el riesgo de infección implementando una estrategia de defensa multicapa que incluya:

  • Descargar software únicamente desde los sitios oficiales de NVIDIA y otros fabricantes.
  • Verificar la firma digital de cualquier ejecutable antes de instalarlo.
  • Supervisar la ejecución de archivos con nombres similares a componentes legítimos del sistema.
  • Restringir el uso de PowerShell y JavaScript cuando no sean necesarios.
  • Monitorizar conexiones HTTPS y túneles DNS inusuales.
  • Implementar soluciones EDR capaces de detectar comportamientos anómalos en lugar de depender exclusivamente de firmas tradicionales.
  • Mantener actualizadas las soluciones antivirus y los sistemas operativos.

En fin...

El descubrimiento de LabubaRAT confirma la evolución constante del panorama de amenazas y evidencia cómo los actores maliciosos están adoptando arquitecturas cada vez más flexibles y difíciles de detectar. Su desarrollo en Rust, la capacidad para recibir configuraciones dinámicas, el soporte para múltiples canales de comunicación y la posibilidad de operar como una plataforma de Malware como Servicio (MaaS) convierten a esta amenaza en una herramienta especialmente peligrosa para empresas y organismos.

La combinación de técnicas de ingeniería social, la suplantación de software legítimo de NVIDIA y un amplio conjunto de funciones de administración remota demuestra que los atacantes continúan perfeccionando sus herramientas para maximizar el éxito de sus campañas. Ante este escenario, las organizaciones deben fortalecer sus controles de seguridad, monitorizar comportamientos anómalos y fomentar la concienciación de los usuarios para reducir el riesgo de compromisos que puedan derivar en robo de información, espionaje o movimientos laterales dentro de la infraestructura corporativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login