Desde el laboratorio de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, se
detectó una amenaza que se propaga por la región, con foco en los países de Colombia y Ecuador. La
amenaza intenta camuflarse de aplicación legítima de Adobe, manipulando los metadatos del archivo
ejecutable para aparentar legitimidad. Sin embargo, el archivo carece de firma digital válida, lo que
confirma su origen fraudulento.
El objetivo de la campaña es infectar a las víctimas con el troyano DCRat, una variante de AsyncRAT, un
software usado en varias campañas de la región. La cadena de infección inicia con archivos comprimidos
que utilizan nombres que aparentan ser comunicaciones judiciales o gubernamentales como, por
ejemplo, “Informe Especial Notificado Nro. 113510000548595265844”, lo cual según ESET deja pensar
que se trata de una propagación a través de correo electrónico.
Este método de propagación de archivos comprimidos con malware vía correos electrónicos de
malspam coincide con investigaciones previas de ESET en la región, acompañado del uso de temáticas
que generan temor o urgencia en la víctima para aumentar la probabilidad de que el destinatario
ejecute el archivo malicioso.
Pie de imagen: Metadatos del binario analizado, la amenaza presenta sus campos de metadatos
configurados para aparentar ser una aplicación de Adobe.
“Al analizar lo metadatos, se observa que los mismos buscan aparentar ser de la aplicación Adobe pero
no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un
binario legítimo emitido por la compañía.”, comenta Martina López, Investigadora de Seguridad
informática de ESET Latinoamérica.
DCRat, es uno de los tantos forks existentes de AsyncRAT y uno de los más propagados mundialmente.
DCRat incluye las funcionalidades típicas de un troyano de acceso remoto, entre las que se destacan:
Captura de pantalla y webcam
Registro de teclas (keylogger)
Administración de archivos y procesos
Ejecución remota de comandos (CMD/PowerShell)
ESET -Nota de Prensa
Carga y descarga de archivos
Acceso a credenciales almacenadas (browsers, sistemas)
Persistencia mediante modificaciones en el registro o carpetas de inicio
Autoactualización del binario
Plugins adicionales descargables desde el servidor de Comando y Control
Inicialmente, el código malicioso envía información básica del sistema al servidor C&C, que funciona
tanto para identificar a la víctima como para la toma de decisiones por parte de los atacantes sobre
ejecución de otras amenazas en el sistema.
Pie de imagen: Función del payload que recopila la información identificadora de la víctima. Así es como
DCRat envia la información básica de la víctima hacia el servidor C&C.
“Más allá de modificaciones estructurales, entre las “mejoras” más destacables que ofrece DCRat con
respecto a AsyncRAT es el robustecimiento de las capacidades anti-análisis. Esto se refleja en, por
ejemplo, la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos
relacionados con análisis dinámico de malware o de monitoreo del sistema. DCRat también implementa
otras técnicas de evasión como la desactivación de componentes AMSI así como ETW patching, que
funcionan desactivando las funciones de seguridad que detectan y registran comportamientos
maliciosos.”, complementa López de ESET.


