DarkVision RAT es un malware que está dando mucho de qué hablar, y con razón. Este troyano se vale de PureCrypter, una herramienta diseñada para ocultarlo y ayudarlo a colarse en redes y robar datos en todo tipo de sectores. Los atacantes lo están distribuyendo principalmente a través de correos de phishing y otras tácticas engañosas, y gracias a su avanzada capacidad para ocultarse, es realmente difícil de detectar. Es una estrategia de ataque que, tristemente, está funcionando muy bien.
Lo que hace a DarkVision RAT tan peligroso es todo lo que puede hacer una vez que infecta un sistema. Puede registrar lo que escribes, tomar capturas de pantalla, grabar audio e incluso meterse con los procesos del sistema y el registro para asegurarse de que no lo puedas eliminar fácilmente. Organizaciones de todo el mundo, especialmente en sectores clave como las finanzas, la salud y el gobierno, están en la mira de este malware, y los riesgos son más altos que nunca.
¿Cómo funciona DarkVision RAT y sus técnicas de ataque?
DarkVision RAT, distribuido con la ayuda de PureCrypter, tiene un enfoque muy sofisticado para infectar sistemas. Todo comienza con el descifrado y ejecución del malware a través de este "cargador", que básicamente lo camufla y lo ayuda a pasar desapercibido.
Este troyano de acceso remoto (RAT) utiliza todo tipo de trucos para evitar ser detectado. Desde llamadas a API y la inyección de procesos hasta hacerse pasar por tareas legítimas dentro del sistema. Además, para comunicarse con su servidor de Comando y Control (C2), usa puertos no estándar, lo que le permite saltarse muchas configuraciones básicas de firewall sin levantar sospechas. En resumen, está diseñado para infiltrarse, esconderse y hacer todo el daño posible sin que te des cuenta.
La página de campaña de DarkVision RAT (Fuente: SOCRadar)
Podría interesarte leer: Detección de Malware con Yara y Wazuh
Cómo protegerte de DarkVision RAT: Medidas de mitigación
DarkVision RAT no es un malware cualquiera, y protegerse de él requiere estar un paso adelante. Las organizaciones necesitan reforzar sus defensas, vigilar constantemente actividades sospechosas y asegurarse de que los sistemas no estén dejando puertas abiertas para los atacantes. Aquí te dejamos algunas estrategias claras y accionables para minimizar el riesgo:
1. Controla las tareas programadas (T1053.005): Asegúrate de que solo usuarios autorizados puedan crear tareas programadas. Configura políticas de grupo para limitar quién puede hacer esto y evita que los atacantes usen tareas como cobertura para sus acciones maliciosas.
2. Monitorea claves del registro y carpetas de inicio (T1547.001): El registro es un punto crítico para los atacantes. Utiliza herramientas de detección en puntos finales para vigilar cambios en claves importantes y carpetas de inicio. Además, limita quién tiene permiso para modificar el registro.
3. Detecta inyecciones de procesos (T1055): Las inyecciones de procesos son un método común para que los RATs se escondan. Usa herramientas que detecten comportamientos sospechosos, como las llamadas a API (NtCreateSection y NtMapViewOfSection). También, implementa listas blancas para permitir únicamente aplicaciones confiables.
4. Bloquea intentos de ofuscación (T1140): Los atacantes suelen ofuscar o codificar sus archivos para evitar detección. Configura herramientas de monitoreo que puedan identificar este comportamiento e implementa soluciones de Prevención de Pérdida de Datos (DLP) para bloquear transferencias de archivos sospechosos.
5. Protege tu antivirus (T1562.001): A los atacantes les encanta desactivar herramientas de seguridad. Activa la protección contra manipulaciones en tu antivirus, como Windows Defender, y audita regularmente las exclusiones configuradas.
6. Fortalece la seguridad del navegador (T1539): DarkVision RAT puede robar cookies de sesión web. Para evitarlo, habilita la autenticación multifactor (MFA) en tus cuentas y bloquea complementos o extensiones no autorizadas en los navegadores que usas.
Indicadores de compromiso (IoC): Cómo detectar DarkVision RAT
Identificar una amenaza como DarkVision RAT a tiempo puede marcar la diferencia entre un sistema seguro y uno completamente comprometido. A continuación, te compartimos algunos indicadores clave que están directamente relacionados con este malware. Si los integras en tus sistemas de monitoreo y detección, podrás reforzar significativamente tus defensas y aumentar las posibilidades de detener el ataque antes de que cause daño.
Indicadores más relevantes
Hashes
- cd64122c8ee24eaf02e6161d7b74dbe79268f3b7ffb7a8b0691a61ff409f231d: Hash asociado a la carga maliciosa de DarkVision RAT.
- 27ccb9f336282e591e44c65841f1b5bc7f495e8561349977680161e76857be5d: Vinculado a los componentes del cargador PureCrypter.
- 7aa49795bbe025328e0aa5d76e46341a95255e13123306311671678fdeabb617: Relacionado con las funcionalidades de comunicación C2 y persistencia del malware.
URL maliciosa
http://nasyiahgamping[.]com/yknoahdrv.exe: Dirección donde se aloja la carga útil del malware.
Direcciones IP sospechosas
severdops.ddns[.]net:8120: Servidor C2 utilizado por los atacantes, que opera a través de un puerto no estándar para evitar detección.
Conclusión
La campaña de DarkVision RAT es un recordatorio de lo peligrosos que pueden ser los troyanos de acceso remoto, especialmente cuando están respaldados por cargadores como PureCrypter que los hacen casi invisibles. Con funcionalidades como el registro de teclas, inyección de procesos y captura de video, este malware le da a los atacantes un control alarmante sobre los sistemas infectados.
Prevenir ataques como este requiere un enfoque completo: asegúrate de tener protección avanzada en los endpoints, usa listas blancas para las aplicaciones autorizadas y supervisa las actividades en tiempo real. Al integrar los indicadores de compromiso (IoC) en tus herramientas de seguridad, estarás mucho mejor preparado para identificar y bloquear este tipo de amenazas antes de que puedan causar estragos.
Para mejorar las defensas de tu organización, TecnetOne ofrece SOC as a Service, una solución que combina inteligencia de amenazas avanzada y herramientas de detección proactiva. Con su enfoque integral, puedes identificar y responder rápidamente a campañas como DarkVision RAT, asegurando la continuidad de tus operaciones. Protege tus sistemas y fortalece tu postura de seguridad con el soporte especializado de TecnetOne.
