Investigadores de ESET Latinoamérica han detectado una nueva y activa campaña que está utilizando un programa malicioso que se hace pasar por una aplicación de Adobe para distribuir el troyano DCRat. Este malware, derivado del conocido AsyncRAT, tiene como objetivo el robo de información en países de la región, con especial foco en Colombia y Ecuador. El engaño comienza con correos electrónicos que simulan ser comunicaciones oficiales o judiciales.
En el panorama de la ciberseguridad, las amenazas se refinan constantemente, buscando nuevas formas de engañar a los usuarios. Recientemente, el equipo de investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, alertó sobre una campaña de malware que se propaga por la región, poniendo el foco principal en Colombia y Ecuador. Esta nueva amenaza utiliza una estrategia de camuflaje bastante efectiva, disfrazándose como un loader de Adobe para distribuir un troyano conocido como DCRat.
El DCRat (acrónimo de Dark Cloud Remote Access Trojan), es una variante o fork del troyano de acceso remoto AsyncRAT y es uno de los más extendidos a nivel mundial. El objetivo de esta campaña no es otro que infectar a las víctimas con este software malicioso, que ya ha sido utilizado en diversas campañas anteriores en la región.
La estrategia del engaño y el disfraz de Adobe
El proceso de infección comienza con la recepción de archivos comprimidos, que a menudo llevan nombres que simulan ser documentos oficiales, como comunicaciones judiciales o gubernamentales. Títulos como “Informe Especial Notificado Nro. 113510000548595265844” son un claro indicio de que la propagación se realiza, presumiblemente, a través de correos electrónicos de tipo malspam. Este método de usar temáticas que generan urgencia o temor es una técnica conocida para aumentar las probabilidades de que el destinatario termine ejecutando el archivo malicioso, una práctica que ESET ha documentado en investigaciones previas en la zona.
Una vez que el usuario ejecuta el archivo malicioso, el malware intenta aparentar legitimidad manipulando los metadatos de su archivo ejecutable para que parezca una aplicación legítima de Adobe. Aunque los campos de los metadatos se configuran para simular ser un binario de Adobe, al ser examinado, se confirma la naturaleza fraudulenta del archivo, pues carece de una firma digital válida.
Martina López, Investigadora de Seguridad informática de ESET Latinoamérica, enfatiza esta crucial diferencia: “Al analizar lo metadatos, se observa que los mismos buscan aparentar ser de la aplicación Adobe pero no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un binario legítimo emitido por la compañía”. Esta falta de firma digital es un detalle técnico vital que confirma el origen malicioso de la amenaza.
¿Qué hace DCRat y cuáles son sus capacidades?
DCRat, como troyano de acceso remoto, no es un software inofensivo. Posee un amplio abanico de funcionalidades típicas de esta categoría de malware, lo que lo convierte en una seria amenaza para la privacidad y seguridad de los datos. Entre sus capacidades más destacadas se encuentran:
- Captura de pantalla y de la webcam.
- Registro de teclas (función conocida como keylogger).
- Administración de archivos y procesos en el sistema infectado.
- Ejecución remota de comandos, abarcando tanto CMD como PowerShell.
- Carga y descarga de archivos.
- Acceso a credenciales almacenadas, tanto en navegadores como en sistemas.
- Obtención de persistencia mediante la modificación del registro o las carpetas de inicio.
- Autoactualización de su propio binario.
- Capacidad de descargar plugins adicionales desde su servidor de Comando y Control (C&C).
Una vez que se ejecuta el código malicioso, este establece comunicación con su servidor C&C, enviando información básica del sistema. Esta información no solo sirve para identificar a la víctima, sino también para permitir que los atacantes tomen decisiones sobre la posible ejecución de otras amenazas en el sistema.
Capacidades anti-análisis y evasión
Una de las supuestas “mejoras” que ofrece DCRat en comparación con AsyncRAT es un notable robustecimiento en sus capacidades anti-análisis. Esto lo hace particularmente difícil de detectar y estudiar por software de seguridad. Martina López añade que “Esto se refleja en, por ejemplo, la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos relacionados con análisis dinámico de malware o de monitoreo del sistema”.
Adicionalmente, DCRat incorpora otras técnicas de evasión sofisticadas, tales como la desactivación de componentes del Antimalware Scan Interface (AMSI) y el Event Tracing for Windows (ETW patching). Estas técnicas buscan esencialmente deshabilitar las funciones de seguridad de Windows que están diseñadas para detectar y registrar comportamientos maliciosos.
La recomendación general de seguridad es extremar las precauciones con cualquier correo electrónico que sugiera urgencia o provenga de una fuente inesperada, y verificar siempre la legitimidad de los archivos, buscando firmas digitales válidas, especialmente en ejecutables que simulan ser software de compañías conocidas.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
