Logo
Publicita con nosotros!
DCRat se disfraza de Adobe para robar datos: alerta de ESET

Rebote

Noticias

DCRat se disfraza de Adobe para robar datos: alerta de ESET

Investigadores de ESET reportaron una campaña que utiliza un loader que simula ser Adobe para instalar DCRat, una variante de AsyncRAT. El binario manipula metadatos para aparentar legitimidad, pero carece de firma digital válida, lo que delata su origen. Según el laboratorio de ESET Latinoamérica (fuente), la operación afecta a usuarios de la región con especial foco en Colombia y Ecuador.

“Al analizar lo metadatos, se observa que los mismos buscan aparentar ser de la aplicación Adobe pero no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un binario legítimo emitido por la compañía”

comenta Martina López, Investigadora de Seguridad informática de ESET Latinoamérica.

Cómo opera la campaña

La cadena de infección comienza con archivos comprimidos nombrados como supuestas comunicaciones judiciales o gubernamentales, por ejemplo: “Informe Especial Notificado Nro. 113510000548595265844”. Este señuelo coincide con patrones de malspam documentados en la región y descritos en investigaciones previas de ESET (análisis).

¿Has recibido recientemente un archivo comprimido con una “notificación” inesperada? Verificar la firma digital y el origen antes de abrirlo reduce riesgos. Más contexto técnico sobre AsyncRAT y sus forks puede consultarse en este informe.

Capacidades de DCRat

DCRat integra funciones típicas de un troyano de acceso remoto enfocadas en espionaje, control del sistema y robo de información:

  • Captura de pantalla y webcam
  • Keylogger para registro de teclas
  • Gestión de archivos y procesos
  • Ejecución remota de comandos (CMD/PowerShell)
  • Carga y descarga de archivos
  • Acceso a credenciales almacenadas en navegadores y sistemas
  • Persistencia mediante cambios en el registro o carpetas de inicio
  • Autoactualización del binario
  • Soporte de plugins desde el servidor de Comando y Control (C2)

Evasión y anti-análisis

Tras la ejecución, el payload envía al C2 información básica del sistema para identificar a la víctima y decidir próximos pasos. El foco de los operadores incluye mecanismos de evasión y detección de entornos de análisis.

“Más allá de modificaciones estructurales, entre las “mejoras” más destacables que ofrece DCRat con respecto a AsyncRAT es el robustecimiento de las capacidades anti-análisis. Esto se refleja en, por ejemplo, la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos relacionados con análisis dinámico de malware o de monitoreo del sistema. DCRat también implementa otras técnicas de evasión como la desactivación de componentes AMSI así como ETW patching, que funcionan desactivando las funciones de seguridad que detectan y registran comportamientos maliciosos”

La referencia técnica a AMSI y a ETW patching permite dimensionar cómo el malware intenta eludir controles en tiempo de ejecución y registros de eventos.

Lectura técnica recomendada

El detalle del loader que se hace pasar por Adobe y distribuye DCRat está ampliado en el artículo de ESET en WeLiveSecurity: análisis técnico.

Rebote.net | DCRat se disfraza de Adobe para robar datos: alerta de ESET