Vamos a echarle un ojo a la actividad de un RAT (Troyano de Acceso Remoto)
Empotrado en un Phising Excel. (el exploit esta en las macros)
He escogido este ejendro porque la infeccion es por etapas (staged).
Notas:
El excel simula una factura pero al abrirla lanza un macro con un exploit con lo que consigue ejecutar un powershell.
El verdadero codigo no esta en el excel (asi el antivirus lo tiene mas dificil).
En su lugar la carga util del exploit es un “staged payload” que tras varios pasos descarga e instala el verdadero “kraken” desde una url de internet
Asi el creador puede ir evolucionando el codigo final incluso despues de lanzar los correos con el phising.
Por suerte este tipo de trollanos tipo staged (por etapas) son facilmente bloqueables por un antivirus-proxy tipo “websense”.
O incluso Tambien se podria bloquear a nivel de DNS (opendns) bloqueando dominio en el que esta alojada la etapa final.