Frutas facilita al criminal utilizar una clave de cifrado para algunas funcionalidades de acceso remoto integradas; y manipular la computadora afectada.
Norton reportó la distribución de un nuevo RAT (programa de acceso remoto), llamado Frutas, escrito completamente en JAVA y que se propaga libremente en foros clandestinos en México y puede descargarlo cualquier usuario registrado en el foro.
El RAT “Frutas” facilita a los criminales la creación de un archivo JAR de conexión del cliente para ejecutarse en un equipo comprometido. Al ejecutarse, se analiza un archivo de configuración incorporada para una dirección IP y puerto del servidor para conectarse. El RAT facilita al criminal utilizar una clave de cifrado para algunas funcionalidades de acceso remoto integradas. Al recibir una conexión de acceso remoto, el servidor RAT avisa al criminal y le permite realizar varias funciones en la computadora infectada, como son:
- Consultar o liquidar los procesos del sistema
Examinar los sistemas de archivos- Descargar y ejecutar archivos
- Enviar mensajes emergentes
- Abrir un sitio Web específico en un navegador
- Llevar a cabo rechazos de ataques de servicio contra una dirección IP específica
El archivo JAVA utiliza un cargador personalizado que carga los archivos cifrados de clase (Opción [1-14]) una vez que recibe comandos desde el servidor de controlado RAT. La clave, definida por el atacante, se utiliza para cifrar los archivos de clase utilizando DES con un cifrado de lujo.
Para evitar ser víctima del RAT, se recomienda actualizar sus soluciones de seguridad y antivirus.