Neptuno RAT se encuentra entre las amenazas de malware más inteligentes que se dirigen a dispositivos Windows. Explota sitios como YouTube y Telegram para evitar el defensor de Windows y otras herramientas antivirus. Sus efectos incluyen archivos de bloqueo de ransomware, robo de contraseñas y borrando el registro de arranque maestro (MBR) de Windows 11. A pesar de su gravedad, proteger su dispositivo de Windows de Neptuno Rat es sorprendentemente fácil.
¿Qué hace que Neptuno Rat sea tan peligrosa?
El malware de rata Neptunofue descubierto por primera vezpor la firma de seguridad Cyfirma. La "rata" en él significa troyanos de acceso remoto. Es un archivo que, cuando se abre, permite que un atacante controle su computadora desde lejos. Por lo general, Windows bloquea estos intentos. Eso es lo queLos programas antivirus son paradespués de todo.
Sin embargo, Neptuno Rat es extremadamente astuto, ocultando su código dañino con palabras árabes y emojis, pasando más allá de su firewall, el defensor de las ventanas y otras herramientas antivirus. Incluso sabe si estás usando una máquina virtual (VM). Al final del usuario, invoca dos comandos simples de PowerShell para infectar su PC:
- IRM (Invoke-Restmethod): extrae contenido como software de sitios web, como Github.
- IEX (Invoke-Expression): Ejecuta las cosas descargadas como un programa de script.
En algún momento, unguión por lotesaterriza en las carpetas de sus ventanas. Después de eso, su computadora se conecta al servidor del atacante.
Un malware tan peligroso y persistente no se ha visto en Windows en mucho tiempo. Usa muchosArchivos dllpara estropear su sistema. Pueden bloquear los datos de su PC (ransomware), robar contraseñas de más de 270 programas como Chrome y Brave Browsers, tomar lo que copie y pegar, cambie la configuración de su registro e incluso elimine suMaster Boot Record (MBR).
La peor parte? Neptuno Rat se está extendiendo actualmente a través de las redes sociales: YouTube, Github, Telegram y otros enlaces. La mayoría de las personas confían inherentemente en YouTube, y por primera vez, esa confianza ha sido violada. Ahora es muy fácil para los piratas informáticos publicar un video que dice: "Haga clic en el siguiente enlace Descripción del video para recibir $ 500 en efectivo", y luego proporcionan un ejecutable de Neptuno RAT que se puede disfrazar en texto plano.
Soluciones a Neptuno Rat Malware
Los peligros de Neptuno Rat son muchos. Más allá de cada herramienta de análisis de malware, y ni siquiera requiere descargas de archivos. A pesar de la enorme vulnerabilidad, las soluciones para los usuarios de Windows son bastante simples.
Para los usuarios de Windows que conocen PowerShell
PowerShell emplea una característica llamada "modo de lenguaje restringido", que restringe la aplicación a realizar solo tareas básicas. Una vez instruido, ya no puede acceder a los recursos web utilizandoirmyiex, por lo tanto, bloquea la rata Neptuno.
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"Para forzar la configuración de lenguaje restringido en todos los usuarios de su PC, aplique lo siguiente:
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
Para deshacer la configuración anterior, simplemente regrese al modo "Lenguaje completo", y puede comenzar a descargar nuevamente los cmdlets IRM e IEX.
$ExecutionContext.SessionState.LanguageMode = "FullLanguage"Hasta que Windows sea una solución adecuada, es mejor mantenerlos deshabilitados.
Hay otra opción. Si realmente no usa mucho PowerShell, puede deshabilitar completamente el acceso de PowerShell a Internet. Después de esto, cuando intente ejecutar los comandos IRM/IEX, generará un error en PowerShell.
New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block
Para eliminar la regla de bloque de nivel de red, use el siguiente comando:
Remove-NetFirewallRule -Name "BlockPowerShellOutbound"Si bien no poder usar PowerShell para la actividad en línea es un inconveniente menor, teniendo en cuenta la gravedad de la amenaza de rata de Neptuno, veo esto como la mejor solución.
Para usuarios no técnicos
Si usa YouTube o Telegram en una computadora de Windows, puede mantenerse a salvo de Neptune Rat evitando hacer clic en los enlaces en descripciones de video, incluso si los creadores de video lo solicitan. Pueden ofrecer descuentos o prometer solucionar problemas de seguridad. Aparecen mucho en juegos o videos éticos de piratería, pero también pueden estar en clips de películas u otros temas. Debe dejar de hacer clic en enlaces desconocidos, incluso si amigos o familiares los comparten en las redes sociales.
Otras recomendaciones que tenemos para los usuarios casuales de Windows que tratan con Neptuno RAT:
- Use una aplicación de autenticador: en un dispositivo Windows,una aplicación de autenticadores la mejor manera de proteger contra los intrusos que intentan acceder a cuentas sensibles.
- Use soluciones de seguridad de punto final: La única forma en que se puede detectar malware sin fila como Neptuno Rat es utilizar software de seguridad de punto final comoMicrosoft Defender, que es diferente de la seguridad de Windows. Hacen un trabajo mucho mejor al responder a la actividad sospechosa en PowerShell.