Darkcloud Stealer se ha convertido recientemente en una potente amenaza dirigida a organizaciones financieras a través de las campañas de phishing convincentes. Los adversarios emplean los archivos adjuntos de RAR armados disfrazados de documentos legítimos para entregar una carga útil basada en JavaScript en varias etapas.
Al abrir el archivo, las víctimas ejecutan un script VBE que aprovecha el script de Windows Host para iniciar un descargador de PowerShell oculto en archivos de imagen inocuos.
Este vector de acceso inicial explota la confianza de los usuarios en la correspondencia financiera de rutina, desencadenando una cadena automatizada de pasos de decodificación y descifrado diseñados para evadir los controles de seguridad convencionales.
A principios de septiembre de 2025, los equipos de seguridad observaron un aumento dramático en los archivos adjuntos maliciosos de RAR enviados a cuentas de correo electrónico corporativas dentro del sector bancario.
Los analistas cibernéticos identificaron que el archivo llamado “Prueba de pago.
Línea de tiempo del dispositivo que muestra la descarga Activty del usuario (fuente – Cyberproof)
El cargador del robador se oculta dentro de esta imagen, y la rutina de decodificación extrae el módulo DLL .NET directamente de los datos de píxeles de la imagen.
Investigadores cibernéticos anotado Que el script PowerShell verifica rigurosamente las compensaciones de memoria para localizar un patrón de encabezado BMP distinto antes de tallar la DLL del cargador.
El siguiente fragmento ilustra el bucle central utilizado para escanear los bytes de imagen descargados:-
para ($ i = 0; $ i -lt $ data.length -$ header. longitud; $ i ++) {$ match = $ true para ($ j = 0; $ j -lt $ header.length; $ j ++) {if ($ data ($ i+$ j) -ne $ header ($ j)) {$ coincy = $ falso; break}} if ($ match) {$ offset = $ i; romper } }
Una vez que la DLL se reconstruye en la memoria, el script invoca (reflexión.ssembly) :: load () para ejecutar el cargador sin tocar el disco.
Persistencia y robo de credenciales
Después de cargar en la memoria, Darkcloud Stealer establece la persistencia copiando una carga útil de JavaScript a la clave de registro de Windows Ejecutar bajo un nombre de archivo disfrazado (M3HD0PF.EXE disfrazarse como msbuild.exe), asegurando la ejecución de cada inicio de sesión de los usuarios.
Luego, el robador inyecta procesos legítimos como msbuild.exe y mtstocom.exe utilizando técnicas de hueco de procesos, lo que le permite al desviar las credenciales guardadas de las bases de datos del navegador como los datos de inicio de sesión de Chrome.
Las alertas de las plataformas de detección de punto final confirman los eventos de acceso DPAPI y la asignación de memoria en los procesos del navegador, revelando intentos de descifrar contraseñas almacenadas directamente en la memoria.
Los datos robados que se envían a IPS remotos (fuente – Cyberproof)
Finalmente, los datos robados se organizan en directorios de usuarios y se exfiltran a través de canales FTP y HTTP a clústeres de dominio dinámico (.shop, .xyz), lo que complica la detección basada en la red.
Se insta a las instituciones financieras a monitorear la ejecución anómala de VBE/VBS, el registro inesperado ejecutando modificaciones clave y los archivos de JavaScript en las carpetas de descarga pública para detectar e interrumpir rápidamente esta campaña insidiosa.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
