Todos los días aparecen nuevas amenazas que desafían la seguridad digital, y hoy nos encontramos con una que ha captado la atención de los expertos: SnipBot, una variante más avanzada del malware RomCom. No es solo otro virus que se cuela sin ser visto; está diseñado con precisión para robar información de manera silenciosa y, lo más alarmante, es que se vuelve cada vez más difícil de detectar. Si crees que tus sistemas están a salvo, es posible que SnipBot esté esquivando tus defensas justo ahora. En este artículo te explicamos cómo actúa este malware, qué lo hace tan peligroso y, lo más importante, cómo protegerte antes de que sea demasiado tarde.
Una nueva variante del malware RomCom, llamada SnipBot, ha sido detectada en ataques dirigidos al robo de datos en sistemas comprometidos. Investigadores descubrieron esta versión analizando un módulo DLL usado en los ataques de SnipBot. Las campañas más recientes de este malware parecen estar enfocadas en diferentes sectores, como servicios de TI, el sector legal y la agricultura, con el objetivo de robar datos sensibles y aprovechar las redes infectadas.
El malware RomCom ha sido utilizado como una puerta trasera en varias campañas maliciosas, incluidas aquellas destinadas a distribuir ransomware Cuba y realizar operaciones de phishing dirigidas. Su versión anterior, conocida como RomCom 4.0, lanzada a fines de 2023, era más liviana y discreta que las anteriores, pero seguía siendo potente. Tenía la capacidad de ejecutar comandos, robar archivos, descargar nuevas cargas maliciosas, modificar el registro de Windows y utilizar un protocolo de comunicación más seguro (TLS) para conectarse a su servidor de comando y control (C2).
Con la aparición de SnipBot, que se considera la versión 5.0 de RomCom, el malware ha recibido una actualización significativa. Ahora tiene un conjunto ampliado de 27 comandos, lo que da a los atacantes un control aún más preciso sobre las actividades de robo de datos. Esto incluye la capacidad de seleccionar tipos específicos de archivos o carpetas para atacar, comprimir los datos robados con la herramienta 7-Zip, e incluso introducir archivos comprimidos en el sistema comprometido para evadir la detección.
Además, SnipBot ha mejorado sus técnicas de evasión. Utiliza una ofuscación avanzada del flujo de control, dividiendo su código en bloques que se activan secuencialmente mediante mensajes de ventana personalizados. También ha implementado nuevas técnicas anti-sandboxing, como verificar los hashes de los archivos ejecutables y procesos, además de realizar comprobaciones en el sistema, como la cantidad de entradas en "RecentDocs" y las claves de registro en "Shell Bags", lo que ayuda al malware a detectar si está siendo analizado en un entorno de prueba.
Otra novedad es que el módulo principal del malware, llamado "single.dll", se almacena de forma cifrada en el registro de Windows y se carga directamente en la memoria, lo que lo hace más difícil de detectar. Los módulos adicionales, como "keyprov.dll", se descargan desde el servidor de comando y control, se descifran y también se ejecutan en la memoria, lo que aumenta la capacidad del malware para operar sin dejar rastro en el disco del sistema infectado.
Conoce más sobre: Storm-0501 Ransomware Aumenta sus Ataques en Entornos de la Nube
Investigadores lograron rastrear el vector de infección inicial de SnipBot gracias a muestras obtenidas de plataformas de análisis de malware. En la mayoría de los casos, la infección comienza con correos electrónicos de phishing que incluyen enlaces disfrazados para descargar archivos aparentemente inofensivos, como documentos PDF, diseñados para que la víctima haga clic.
En algunos ataques anteriores, se ha observado un método diferente, donde los usuarios son dirigidos a un sitio web falso de Adobe. Allí, se les solicita descargar una fuente faltante para poder ver un archivo PDF adjunto. Al hacerlo, la víctima es redirigida a través de varios dominios controlados por los atacantes, como "fastshare[.]click" o "publicshare[.]link", que finalmente entregan un descargador malicioso desde servicios de intercambio de archivos como "temp[.]sh".
Estos descargadores a menudo están firmados con certificados legítimos, lo que ayuda a evitar que las herramientas de seguridad emitan advertencias. Uno de los métodos utilizados para inyectar el malware en el sistema es el secuestro de COM, que permite que el código malicioso se cargue dentro de "explorer.exe", logrando así persistencia incluso después de reiniciar el sistema.
Una vez que el sistema ha sido comprometido, los atacantes recopilan información sobre la red de la empresa y el controlador de dominio, mientras roban archivos específicos de carpetas clave como Documentos, Descargas y OneDrive.
En una segunda fase, los atacantes utilizan una herramienta llamada AD Explorer para inspeccionar y navegar la base de datos de Active Directory (AD), lo que les permite obtener una vista más detallada de la red. Los archivos robados son comprimidos con WinRAR y luego transferidos utilizando la herramienta PuTTY Secure Copy.
Aunque todavía no está completamente claro cuál es el objetivo final de los atacantes detrás de SnipBot y RomCom, los investigadores sugieren que es probable que su motivación haya evolucionado. Mientras que antes parecía centrarse en el beneficio económico, ahora es posible que esté más orientada a operaciones de espionaje.
Flujo de Ejecución de SnipBot
Podría interesarte leer: Análisis de Malware con Wazuh
SnipBot es un claro ejemplo de cómo los ciberdelincuentes siguen mejorando sus tácticas para hacer que sus ataques sean más efectivos y difíciles de detectar. Esta nueva variante de RomCom es especialmente peligrosa porque puede robar datos específicos de forma silenciosa y mantenerse en el sistema sin ser detectada. Aun así, aplicar buenas prácticas de ciberseguridad y mantenerse al tanto de las últimas amenazas puede marcar una gran diferencia para evitar ser víctima de este tipo de malware, tanto para usuarios individuales como para organizaciones.