Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota Campaña de malware de doble carga útil

Campaña de malware de doble carga útil

Por Mezo en Herramientas de administración remota, Programas publicitarios
Traducir a:

Una nueva campaña de malware está acaparando la atención de la comunidad de ciberseguridad debido a su capacidad para desplegar dos amenazas distintas simultáneamente. Un único cargador ofuscado se utiliza para instalar tanto el troyano de acceso remoto Gh0st como CloverPlus en el mismo sistema comprometido.

Esta combinación es poco común y altamente estratégica. Gh0st RAT permite el control remoto total de la máquina infectada, mientras que CloverPlus se centra en manipular la actividad del navegador, inyectar componentes publicitarios y generar ingresos mediante ventanas emergentes intrusivas. Esta doble implementación permite a los ciberdelincuentes mantener un acceso no autorizado persistente mientras monetizan la infección en tiempo real.

Esta campaña pone de manifiesto una tendencia creciente hacia la entrega de múltiples cargas útiles, donde los atacantes maximizan la eficiencia operativa y el retorno financiero a partir de una única intrusión.

Tácticas de ofuscación: ocultando la carga útil

El cargador que constituye la base de esta campaña está diseñado para operar de forma sigilosa. Incorpora dos cargas útiles encriptadas dentro de su sección de recursos, utilizando técnicas de ofuscación para eludir los mecanismos de detección tradicionales.

La ejecución comienza con el módulo de adware CloverPlus, identificado como AdWare.Win32.CloverPlus y asociado a un archivo ejecutable llamado wiseman.exe. Este componente modifica la configuración de inicio del navegador e inserta anuncios emergentes persistentes.

A continuación, el cargador evalúa su ruta de ejecución. Si no se encuentra en el directorio %temp% del sistema, crea una copia allí antes de continuar. La siguiente etapa consiste en descifrar el módulo cliente del RAT Gh0st, que también se encuentra oculto como un recurso cifrado dentro del binario del malware.

Una vez descifrado, el malware asigna un nombre de archivo aleatorio a la carga útil y la almacena en una carpeta con un nombre aleatorio ubicada en la raíz de la unidad C:\, lo que complica aún más su detección y análisis.

Vivir de la tierra: herramientas de confianza, intenciones maliciosas

Para ejecutar la carga útil descifrada, el malware aprovecha la utilidad legítima de Windows rundll32.exe. Este método permite la ejecución de código malicioso bajo la apariencia de un proceso de sistema de confianza, lo que reduce significativamente la probabilidad de que se activen las defensas de seguridad.

Una vez activo, el troyano de acceso remoto Gh0st comienza a perfilar el sistema comprometido recopilando identificadores únicos como la dirección MAC y el número de serie del disco duro. Estos datos se utilizan para registrar a la víctima en la infraestructura de comando y control del atacante, lo que garantiza un seguimiento y una gestión precisos de los equipos infectados.

Mecanismos de persistencia: Garantizando el acceso a largo plazo

Mantener el acceso después de reiniciar el sistema es un objetivo clave de esta campaña. Gh0st RAT logra la persistencia mediante múltiples técnicas integradas profundamente en el sistema operativo:

Modificación de la clave de registro Ejecutar de Windows para garantizar la ejecución automática al iniciar el sistema.
Registro de una DLL maliciosa dentro de la ruta del servicio de acceso remoto en SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Estos métodos otorgan al malware privilegios de nivel de sistema cada vez que se inicia el servicio asociado, eliminando la necesidad de una mayor interacción del usuario y reforzando el control a largo plazo.

Detección y defensa: indicadores de compromiso

El impacto de esta campaña es considerable tanto para las personas como para las organizaciones. Mientras que el componente de adware interrumpe la funcionalidad del navegador y aumenta la exposición a publicidad maliciosa, el componente RAT permite el robo de datos, el registro de pulsaciones de teclas, la elusión de la seguridad y el acceso privilegiado persistente.

Los equipos de seguridad deben permanecer vigilantes y monitorear los siguientes indicadores de vulneración:

  • La ejecución de rundll32.exe carga DLL o extensiones de archivo no estándar desde directorios inusuales o sospechosos.
  • Actividad de procesamiento originada en la carpeta %temp%.
  • Modificaciones no autorizadas a las claves de ejecución del registro o a las configuraciones del servicio RemoteAccess.
  • Uso de retrasos basados en ping para evadir la detección de sandbox.
  • Patrones de tráfico DNS anómalos y cambios inesperados en el archivo hosts del sistema.

La monitorización proactiva y la respuesta rápida a estas señales son fundamentales para mitigar los riesgos que plantea esta sofisticada campaña de malware de doble amenaza.

Tendencias

Estafa por correo electrónico de confirmación de...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción urgente siempre deben tratarse con precaución. Los ciberdelincuentes suelen disfrazar mensajes maliciosos como notificaciones legítimas para aprovecharse de la confianza y generar pánico. Es fundamental tener en cuenta que estafas como los correos electrónicos de «Confirmación de nueva actualización de seguridad de privacidad» no están...

Mas Visto

Cargando...