Malware ResolverRAT
Investigadores de ciberseguridad han identificado un sofisticado troyano de acceso remoto llamado ResolverRAT, que se utiliza activamente en ataques dirigidos a los sectores sanitario y farmacéutico. Este malware recién descubierto representa un grave riesgo debido a su comportamiento sigiloso y sus complejos mecanismos de infección.
Tabla de contenido
Tácticas de phishing: el miedo como arma
La campaña comienza con correos electrónicos de phishing que infunden miedo, diseñados para incitar a los destinatarios a hacer clic urgentemente en un enlace malicioso. Estos señuelos suelen hacer referencia a problemas legales o violaciones de derechos de autor, diseñados para generar pánico y provocar una reacción precipitada. Al hacer clic, el enlace descarga un archivo que inicia la cadena de infección de ResolverRAT.
Engaño específico de la región
Un elemento destacado de esta campaña es el uso de contenido de phishing localizado. Los correos electrónicos están escritos en los idiomas nativos de las regiones objetivo (hindi, italiano, checo, turco, portugués e indonesio), lo que resalta la intención de los atacantes de aumentar el éxito de la infección mediante la personalización regional.
Mecánica de la infección: una reacción en cadena sigilosa
ResolverRAT utiliza la carga lateral de DLL para iniciar su cadena de infección. La primera etapa utiliza un cargador en memoria para descifrar y ejecutar la carga útil principal, que está cifrada, comprimida y nunca se escribe en el disco. Estas técnicas le permiten pasar desapercibido para las herramientas de seguridad tradicionales.
Resiliencia a través de la redundancia
Este malware no solo se basa en el sigilo, sino que está diseñado para sobrevivir. ResolverRAT utiliza un proceso de arranque de varias etapas con mecanismos de persistencia redundantes, integrándose en diversas ubicaciones del sistema de archivos y el Registro de Windows. Esto garantiza que, incluso si se elimina parte del malware, este pueda restablecerse.
Infraestructura C2 avanzada: oculta a simple vista
Una vez activo, ResolverRAT inicia la autenticación basada en certificados para comunicarse con su servidor de Comando y Control (C2), eludiendo así la validación de la autoridad raíz. Incluso permite la rotación de IP para cambiar de servidor C2 si uno se cae, lo que dificulta aún más la detección y la eliminación.
Maestría en evasión: invisible pero presente
Para pasar desapercibido, ResolverRAT utiliza la fijación de certificados, la ofuscación del código fuente y patrones de balizamiento irregulares. Estos métodos no solo ocultan su presencia, sino que también evaden las técnicas de detección estándar utilizadas en los sistemas de seguridad.
Exfiltración silenciosa de datos
El objetivo principal del malware es recibir comandos del servidor C2 y extraer datos. Divide hábilmente archivos de datos grandes en fragmentos de 16 KB, lo que reduce el riesgo de detección por parte de las herramientas de monitoreo de red.
La atribución aún no está clara, pero surgen patrones
Aunque la campaña de ataque permanece sin atribuir, las similitudes en infraestructura, temas y técnicas —especialmente el uso de carga lateral de DLL y señuelos de phishing— apuntan a una posible conexión con ataques previamente documentados. Esta coincidencia podría indicar una red de afiliados compartida o la actividad coordinada de actores de amenazas.
Conclusión: Una amenaza cibernética persistente y evasiva
ResolverRAT ejemplifica la próxima generación de malware: sigiloso, adaptable y resiliente. Su diseño refleja una comprensión sofisticada de las defensas modernas de ciberseguridad, lo que lo convierte en una amenaza formidable para las industrias objetivo y una preocupación prioritaria para los defensores.
