Una nueva variante sofisticada del robador de información de Darkcloud ha surgido en el panorama cibernético, dirigido a usuarios de Windows a través de campañas de phishing cuidadosamente diseñadas diseñadas para cosechar credenciales confidenciales e información financiera.
Esta variante de malware sin archivo representa una evolución significativa en la tecnología de robador, empleando técnicas de evasión avanzada y mecanismos de implementación de varias etapas que hacen que la detección sea particularmente desafiante para las soluciones de seguridad tradicionales.
La campaña comienza con correos electrónicos de phishing engañosos que contienen archivos RAR disfrazados de citas comerciales urgentes.
Cuando las víctimas extraen y ejecutan el archivo JavaScript llamado “Cita #S_260627.JS”, el malware inicia una cadena de infecciones compleja que finalmente implementa la carga útil de Darkcloud sin dejar firmas de archivos tradicionales en el sistema comprometido.
Nueva cadena de infección de variante de Darkcloud (fuente – Fortinet)
El vector de ataque aprovecha las tácticas de ingeniería social, presentando comunicaciones comerciales aparentemente legítimas que llevan a los usuarios a abrir archivos adjuntos maliciosos.
Analistas de Fortinet identificado Esta nueva variante de DarkCloud a principios de julio de 2025, señalando su uso sofisticado de técnicas de hueco de procesos y estrategias de implementación sin archivo.
Los investigadores observaron que esta campaña se dirige específicamente a las credenciales de inicio de sesión guardadas, la información de la tarjeta de pago y las listas de contactos almacenadas en múltiples aplicaciones populares, incluidos navegadores web, clientes de correo electrónico y software FTP.
El malware demuestra una sofisticación particular en sus capacidades de recolección de datos, dirigida a los principales navegadores web como Google Chrome, Microsoft Edge, Mozilla Firefox y Brave Browser.
Ejecuta consultas SQL específicas contra las bases de datos del navegador para extraer información confidencial: seleccione Origin_URL, UserName_Value, Password_Value de los inicios de sesión para la recolección de credenciales y seleccione Name_on_Card, Expertation_Month, Expiration_Year, Card_Number_ingrypted de Credit_Cards para la extracción de datos financieros.
Mecanismos avanzados de persistencia y evasión
La variante Darkcloud emplea varias técnicas sofisticadas para mantener la persistencia y evadir la detección de sistemas infectados.
Tras la ejecución exitosa, el malware establece la persistencia al copiar el archivo JavaScript inicial a C: \ Users \ public \ downloads \ edriophthalma.js y creando una entrada de registro automático en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ run.
Vista del archivo JPEG disfrazado (Fuente – Fortinet)
Esto garantiza que el malware se ejecute automáticamente durante el inicio del sistema, manteniendo su presencia a través de los reinicios.
El avance técnico más notable en esta variante radica en su estrategia de implementación sin archivo.
El malware descarga una imagen JPEG aparentemente inocua de Archive.org/download/Universe-17333359315202-8750/universe-1733359315202-8750.jpg que en realidad contiene una DLL .NET encriptada incrustada dentro de sus datos de órmel.
El componente de PowerShell extrae esta carga útil oculta al analizar el archivo de imagen y cargar el ensamblaje directamente en la memoria utilizando (reflexión.assembly) :: load () métodos.
Para evadir los sistemas de análisis automatizados, Darkcloud implementa técnicas antisandbox que monitorean la interacción del usuario a través de la API getAsynCKeyState ().
El malware permanece latente hasta que detecta la actividad real del teclado o el mouse, sin pasar por alto los entornos de sandboxed que carecen de interacción genuina del usuario.
Esta evasión de análisis de comportamiento representa un desafío significativo para las plataformas de pruebas de seguridad automatizadas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
