ResolverRAT: nuevo troyano dirigido al sector sanitario y farmacéutico

Un nuevo troyano de acceso remoto (RAT) denominado ResolverRAT ha sido identificado como parte de una campaña global de ciberataques dirigidos a organizaciones del sector salud y farmacéutico. Este malware se distribuye activamente a través de correos electrónicos de phishing diseñados para engañar a los usuarios mediante supuestas notificaciones legales o reclamaciones por violación de derechos de autor, personalizadas según el idioma del país objetivo.

Distribución y vector de ataque

Los mensajes de phishing incluyen un enlace que descarga un ejecutable aparentemente legítimo (hpreader.exe). Este archivo se utiliza para inyectar ResolverRAT directamente en la memoria del sistema mediante una técnica conocida como carga reflexiva de DLL (DLL reflective loading), lo que dificulta su detección por soluciones antivirus tradicionales.

El descubrimiento de este malware fue realizado por Morphisec, que lo identificó utilizando la misma infraestructura de phishing documentada en investigaciones recientes de Check Point y Cisco Talos. Sin embargo, mientras esos informes se centraron en otros ladrones de información como Rhadamanthys y Lumma, ResolverRAT no había sido analizado previamente en profundidad.

Características técnicas de ResolverRAT

ResolverRAT representa una amenaza avanzada debido a su capacidad para ejecutarse completamente en memoria, sin tocar el disco, lo que lo convierte en un malware altamente evasivo. Utiliza eventos .NET ResourceResolve para cargar ensamblados maliciosos sin llamadas evidentes a APIs del sistema operativo, evadiendo herramientas de seguridad basadas en la monitorización de llamadas Win32 API y operaciones del sistema de archivos.

Citar"Este secuestro de resolución de recursos representa una evolución avanzada del malware, permitiendo la ejecución dentro de la memoria administrada y eludiendo los métodos tradicionales de detección", destaca Morphisec.

Además, ResolverRAT incorpora una máquina de estados ofuscada para complicar el análisis estático, incluyendo mecanismos para detectar entornos sandbox y herramientas de depuración mediante técnicas de fingerprinting.

Persistencia y evasión

El malware establece persistencia mediante la creación de múltiples entradas en el Registro de Windows, utilizando claves ofuscadas con XOR en hasta 20 ubicaciones distintas. También se replica en directorios clave del sistema como Inicio, Archivos de programa y LocalAppData para garantizar su reejecución tras reinicios del sistema.

Para evitar su detección, ResolverRAT utiliza intervalos aleatorios de beaconing (comunicaciones con el servidor de comando y control) y maneja cada comando en subprocesos independientes, lo que mejora su robustez operativa al permitir la ejecución paralela de tareas.

Exfiltración de datos y resiliencia en redes

Una de las funcionalidades más destacadas de ResolverRAT es su capacidad para la exfiltración de datos de forma fragmentada. Los archivos mayores a 1 MB se dividen en fragmentos de 16 KB, lo que permite mezclar el tráfico malicioso con tráfico legítimo, reduciendo las posibilidades de detección por parte de los sistemas de monitoreo de red.

Antes de enviar cada fragmento, el malware comprueba si el socket está disponible para evitar errores en redes inestables. En caso de fallo, el sistema puede reanudar la transferencia desde el último fragmento exitoso, demostrando una alta tolerancia a fallos.

Campaña global en múltiples idiomas

Morphisec ha detectado campañas activas de ResolverRAT en varios idiomas, incluidos italiano, checo, hindi, turco, portugués e indonesio, lo que indica una capacidad operativa global y una posible expansión futura a otros países y sectores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Muy buena información. Gracias por compartir