Detectamos una (DC)Rata: Exponiendo una Cadena Sofisticada de Distribución de Malware
Publicado enNoticias

Detectamos una (DC)Rata: Exponiendo una Cadena Sofisticada de Distribución de Malware

No hay comentarios

Análisis de una cadena de entrega de malware multifase: DCRat y Rhadamanthys

Los ciberdelincuentes continúan perfeccionando sus técnicas de distribución de malware, utilizando métodos sofisticados para evadir las defensas de seguridad. Un ejemplo reciente documentado por Acronis TRU revela una cadena de ataque multifase que combina ingeniería social, scripts maliciosos y archivos comprimidos para distribuir los troyanos DCRat y Rhadamanthys.

Etapas del ataque

La cadena de infección comienza con un archivo RAR que contiene lo siguiente:

  • Un documento falso que simula ser una citación judicial (fake summons), diseñado para engañar a la víctima y generar confianza.
  • Una cita de Friedrich Nietzsche, posiblemente utilizada como distracción o para añadir apariencia de legitimidad.
  • Scripts maliciosos en VBS (Visual Basic Script), batch y PowerShell, encargados de descargar y ejecutar el payload final.

Técnicas de evasión

Los atacantes emplean varias capas de ofuscación y técnicas de evasión:

  • Archivos comprimidos (RAR): El uso de formatos como RAR permite evitar detecciones iniciales por parte de soluciones de seguridad que escanean contenido en tránsito.
  • Scripts en múltiples lenguajes: La combinación de VBS, batch y PowerShell dificulta el análisis estático y permite aprovechar herramientas nativas de Windows para ejecutar código malicioso.
  • Ingeniería social: El documento falso y la cita filosófica buscan reducir las sospechas del usuario y aumentar las tasas de éxito del ataque.

Payloads finales: DCRat y Rhadamanthys

El objetivo final de esta cadena es la instalación de dos troyanos altamente peligrosos:

  • DCRat: Un troyano de acceso remoto (RAT) que permite el control total del sistema comprometido, incluyendo robo de credenciales, captura de pantalla y ejecución de comandos remotos.
  • Rhadamanthys: Un infostealer especializado en robar información sensible como contraseñas, cookies y datos de criptomonedas.

Implicaciones para la seguridad

Este caso demuestra la importancia de:

  • Capacitar a los usuarios para identificar intentos de ingeniería social, incluso aquellos que utilizan elementos aparentemente inocuos como citas literarias.
  • Implementar controles que limiten la ejecución de scripts no autorizados, especialmente PowerShell y VBS.
  • Analizar el contenido de archivos comprimidos antes de permitir su extracción.
  • Monitorizar actividades sospechosas relacionadas con procesos que generan conexiones externas o intentan desactivar medidas de seguridad.

Para más detalles técnicos sobre este ataque, consulta el análisis completo de Acronis TRU.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta