(https://i.imgur.com/K8tgY7r.png)
La Unidad de Investigación de Amenazas (TRU) de Acronis ha identificado una nueva cadena de ciberamenazas, caracterizada por el uso de malware sofisticado y técnicas avanzadas de ofuscación. Este análisis detalla un proceso de infección de varias etapas que involucra Visual Basic Script (VBS), archivos por lotes y PowerShell, con el objetivo final de implementar amenazas como DCRat y Rhadamanthys Infostealer.
Fase inicial: phishing con archivo adjunto maliciosoEl ataque comienza con un correo electrónico de phishing que incluye un archivo adjunto RAR titulado "Citación por embargo de cuenta". Este nombre engañoso busca incitar a los usuarios a abrir el archivo. Una vez extraído, revela un script VBS altamente ofuscado, que da inicio a una cadena de entrega de malware.
Estrategia de entrega de malware en varias etapas- Ejecución de VBS: Genera un archivo por lotes (BAT) y transfiere el control.
- Ejecución de BAT: Construye una cadena codificada en Base64 y la ejecuta a través de PowerShell.
- PowerShell: Decodifica y carga un ejecutable .NET en memoria mediante la técnica RunPE, evitando la detección tradicional.
La carga maliciosa está protegida con un empaquetador .NET personalizado y contiene datos cifrados, descifrados con XOR (0x78), una técnica común en criptografía.
Riesgos y evasión de detecciónEl despliegue de DCRat y Rhadamanthys Infostealer mediante esta cadena de ataque representa una amenaza crítica para la seguridad de los sistemas. La combinación de lenguajes de scripting y técnicas de ofuscación permite evadir las soluciones de seguridad convencionales, facilitando el robo de datos y el acceso no autorizado.
Soluciones de seguridad para mitigar ataques avanzadosPara combatir estas amenazas, es esencial una estrategia de seguridad multicapa, que incluya:
- Filtrado de correos electrónicos para bloquear archivos adjuntos sospechosos.
- Análisis heurístico y de comportamiento para detectar actividad maliciosa.
- Monitoreo de scripts y carga en memoria para evitar ejecuciones no autorizadas.
La Unidad de Investigación de Amenazas de Acronis trabaja constantemente en el desarrollo de soluciones avanzadas como Acronis Advanced Security + Extended Detection and Response (XDR). Esta tecnología emplea protección en tiempo real y emuladores de scripts para detectar y neutralizar amenazas como DCRat, Rhadamanthys y Remcos antes de que comprometan los sistemas.
Curiosa inclusión de citas filosóficas en el malware
Durante el análisis de PowerShell, se encontraron citas de Friedrich Nietzsche insertadas en el código, posiblemente para distraer a los analistas. Entre ellas:
- "Siempre hay algo de locura en el amor. Pero también siempre hay alguna razón en la locura".
- "En los individuos, la locura es rara; pero en grupos, partidos, naciones y épocas, es la regla".
- "En el cielo, faltan todas las personas interesantes".
A pesar de estas distracciones, la TRU de Acronis logró desofuscar y analizar con éxito el código malicioso, proporcionando una comprensión completa de esta nueva amenaza.
En conclusión, el análisis detallado de DCRat por parte de Acronis TRU pone de manifiesto la creciente sofisticación de los ciberataques modernos. Con el uso de tecnologías avanzadas de detección y respuesta, es posible mitigar estas amenazas antes de que comprometan infraestructuras críticas.
Para una protección efectiva, las organizaciones deben adoptar soluciones de seguridad multicapa y mantenerse actualizadas sobre las técnicas emergentes en ciberseguridad.
Fuente: https://www.bleepingcomputer.com/