Los ciberdelincuentes han intensificado su sofisticación de ataque al utilizar servicios legítimos de almacenamiento en la nube para distribuir malware avanzado, como se demuestra en una campaña reciente dirigida a una firma de contabilidad pública certificada en los Estados Unidos.
El ataque, descubierto en mayo de 2025, muestra cómo los actores de amenazas están explotando plataformas de confianza como Zoho WorkDrive para evitar las medidas de seguridad tradicionales y entregar el troyano de acceso remoto de PureRat con sigilo sin precedentes.
El ataque comenzó con una campaña de ingeniería social cuidadosamente orquestada donde los actores de amenazas se hicieron pasar por clientes potenciales, enviando documentos de PDF maliciosos que contienen enlaces a las carpetas de Drive de trabajo de Zoho.
Estas carpetas parecían contener documentos comerciales legítimos, incluidos los registros de impuestos y las copias de la licencia, pero los archivos ejecutables albergados disfrazados de extensiones dobles como “FileName.pdf.exe”.
Los atacantes amplificaron su engaño colocando llamadas telefónicas urgentes a las víctimas, presionándolas para extraer inmediatamente y ejecutar los archivos maliciosos.
Investigadores de Esentire identificado Esta sofisticada campaña como parte de una tendencia más amplia donde los cibercriminales están aprovechando el servicio de Crypter “Ghost Crypt”, anunciado por primera vez en foros subterráneos en abril de 2025.
Esta nueva oferta de CRYPTER como servicio promete capacidades de evasión avanzada, incluidos los bypass garantizados para los sistemas de detección de Windows Defender y Cloud, al tiempo que respaldan a varias familias de malware, incluidas Purerat, LumMac2 y Xworm.
La complejidad técnica del malware se extiende mucho más allá de su mecanismo de entrega inicial.
Diagrama de flujo de ataque (Fuente – Esentire)
Purerat demuestra capacidades notables de persistencia y evasión a través de su enfoque de ofuscación de múltiples capas, utilizando el reactor Eazfuscator.net y .NET para proteger su funcionalidad central del análisis.
Mecanismos avanzados de inyección y persistencia
El aspecto más sofisticado de esta variante PureRat radica en su implementación de “hipnosis de proceso”, una técnica de inyección avanzada que explota los mecanismos de depuración de Windows para la ejecución de código sigiloso.
Purehvnc vs. Puerta (fuente – Esencial)
Tras una ejecución exitosa, el malware emplea un algoritmo de cifrado CHACHA20 personalizado con parámetros modificados para descifrar su carga útil, diferenciándose de las implementaciones estándar a través de constantes mágicas no estándar y valores nulos nulos.
El proceso de inyección comienza con la llamada de la API de CreateProcessw, utilizando la bandera debug_only_this_process para generar el legítimo csc.exe de Windows Binary en modo de depuración.
Esta técnica evita efectivamente que los investigadores de seguridad depugezcan el proceso infantil, ya que permanece bajo el control del malware.
Posteriormente, VirtualLoCex asigna la memoria dentro del proceso de destino con los permisos de lectura, escritura y ejecución, seguido de WriteProcessMemory llamadas que inyectan la carga útil de 344 kb Purerat directamente en el espacio de direcciones del proceso de víctima.
Para mantener la persistencia en los reinicios del sistema, el malware establece una entrada de registro bajo HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, asegurando la ejecución automática al inicio de sesión del usuario.
El malware también repara la función ZWManageHotPatch con 32 bytes de datos, implementando una técnica diseñada específicamente para evitar mejoras de seguridad de Windows 11H2, demostrando la conciencia de los actores de amenaza de las protecciones modernas del sistema operativo.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
