Ha surgido una sofisticada campaña de Troyan de acceso remoto (RAT) dirigido a organizaciones colombianas, empleando técnicas de evasión avanzada para establecer un control remoto persistente sobre los sistemas de Windows.
El malware, identificado como DCRAT, representa una escalada significativa en las amenazas cibernéticas contra las entidades latinoamericanas, utilizando tácticas de suplantación del gobierno para engañar a las víctimas para ejecutar cargas útiles maliciosas.
La campaña de ataque aprovecha los correos electrónicos de phishing cuidadosamente elaborados que se esfuerzan por las agencias gubernamentales colombianas, engañando a los destinatarios para que abran archivos adjuntos postales protegidos con contraseña que contienen archivos por lotes.
Correo electrónico de phishing utilizado en esta campaña (Fuente – Fortinet)
Estos vectores iniciales sirven como puntos de entrada para un complejo proceso de infección en varias etapas diseñado para evitar las medidas de seguridad tradicionales a través de técnicas de ofuscación sofisticadas que incluyen esteganografía, codificación Base64 y múltiples caídas de archivos.
Analistas de Fortinet identificado Esta amenaza durante las investigaciones recientes, que revela las capacidades de vigilancia integrales de DCRAT que se extienden mucho más allá de la funcionalidad típica de malware.
La RAT permite a los atacantes ejecutar comandos remotos, administrar archivos, monitorear la actividad del usuario, capturar capturas de pantalla, realizar operaciones de keylogging y descargar cargas útiles maliciosas adicionales.
Su arquitectura modular permite a los actores de amenaza personalizar la funcionalidad basada en objetivos específicos, por lo que es particularmente peligroso para las campañas de espionaje específicas.
Entrega de carga útil de varias etapas y ocultación esteganográfica
El mecanismo de infección demuestra una notable sofisticación a través de su estrategia de ofuscación de múltiples capas.
Tras la ejecución, el archivo por lotes inicial recupera un script VBS muy ofuscado de los servicios tipo pastebin, que posteriormente ejecuta el código PowerShell que contiene variables Base64 integradas.
Este script PowerShell establece una conexión a servidores remotos que alojan archivos de imagen que ocultan la carga útil final ejecutable a través de técnicas esteganográficas.
Los mecanismos de persistencia del malware varían según los privilegios del usuario, creando tareas programadas con acceso administrativo o entradas de registro en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ para usuarios estándar.
Cadena de ataque (fuente – Fortinet)
DCRAT emplea el cifrado AES256 para proteger su configuración de configuración, utilizando claves básicas codificadas para descifrar los parámetros críticos, incluidas las direcciones del servidor de comando y control (176.65.144.19:8848), los nombres de Mutex (DCRATMUTEX_QWQDANCHUN) y los marcadores operativos.
Para evadir la detección, DCRAT implementa múltiples características anti-análisis, incluidas las técnicas de derivación de AMSI que parche la función Amsiscanbuffer en la memoria, evitando que la interfaz de escaneo de antimalware de Windows detecte la ejecución del código malicioso.
El malware también consulta los dispositivos Win32_Cachememory para identificar entornos de máquinas virtuales, terminando la ejecución si se detectan condiciones de sandbox.
La rata mantiene la actividad del sistema al prevenir el modo de suspensión a través de las llamadas de SetThreadExecutionState con el valor del indicador 0x80000003, asegurando la operación continua al tiempo que establece canales de comunicación persistentes con su infraestructura de comando y control.
Este enfoque integral para la manipulación y evasión del sistema demuestra la sofisticación en evolución de las campañas modernas de ratas dirigidas a la infraestructura crítica y las entidades gubernamentales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
