En las últimas semanas, investigadores de ciberseguridad han detectado una nueva campaña de spear phishing que utiliza trucos de ingeniería social muy bien elaborados para propagar DarkCloud, un malware modular capaz de registrar pulsaciones de teclado, robar credenciales FTP y extraer información del sistema. En TecnetOne te explicamos cómo opera esta campaña y qué acciones concretas puedes tomar para mantener a tu organización más segura.
El ataque llega a través de correos electrónicos dirigidos que aparentan ser notificaciones legítimas, como actualizaciones de software o facturas de empresas. A simple vista, estos mensajes parecen totalmente auténticos, lo que aumenta las probabilidades de que las víctimas caigan en la trampa.
Dentro de los correos, los atacantes incluyen un archivo adjunto de Microsoft Word manipulado. Al abrirlo, se inicia una cadena de infección en varias etapas que termina instalando el malware en el sistema.
Los especialistas señalan que los ciberdelincuentes han puesto un esfuerzo notable en la creación de mensajes convincentes, lo que refleja un alto nivel de preparación y profesionalismo.
El momento crítico ocurre cuando el usuario habilita las macros del documento: ahí es cuando un script oculto en Visual Basic (VBA) se conecta con un servidor de comando y control (C2), encargado de descargar la siguiente carga maliciosa.
Señuelo de phishing (Fuente: eSentire)
La carga útil de DarkCloud funciona como un cargador avanzado capaz de desempaquetar módulos adicionales directamente en la memoria. Esto le permite evadir soluciones de seguridad tradicionales que dependen del análisis en disco y, además, complica seriamente cualquier intento de análisis forense.
Para evitar ser descubierto, el malware primero comprueba si está siendo ejecutado en una máquina virtual o en un entorno de análisis controlado. Si detecta este tipo de artefactos, retrasa su ejecución o incluso la detiene por completo.
Entre sus capacidades más destacadas está un potente registrador de teclas. DarkCloud inyecta una librería de enlaces dinámicos (DLL) en procesos comunes de Windows como explorer.exe o svchost.exe. A partir de ahí, establece ganchos en las API de teclado para capturar todo lo que escribe la víctima, incluidas contraseñas y credenciales de clientes FTP basados en la web.
Una vez recopilada la información, el malware la cifra usando un algoritmo personalizado basado en XOR y la envía a su servidor de comando y control (C2). Todo este tráfico se disfraza como si fuera comunicación HTTPS legítima, lo que le permite mezclarse con normalidad dentro de la red y pasar desapercibido.
Sitio web de DarkCloud comercializado como software legítimo
Además de robar credenciales, DarkCloud realiza un reconocimiento muy completo del equipo. Recolecta metadatos como procesos en ejecución, programas instalados y conexiones de red abiertas, y envía esa información a los atacantes.
Con esos datos, los operadores pueden afinar los siguientes módulos: por ejemplo, activar un plugin para exfiltrar archivos o uno para tomar capturas de pantalla, todo adaptado al entorno de la víctima.
Durante la campaña, los atacantes van cambiando y combinando módulos según convenga, buscando exprimir al máximo la información disponible y, al mismo tiempo, dejar la menor huella posible para dificultar cualquier investigación forense.
Podría interesarte leer: Falsos Instaladores de Microsoft Teams Distribuyen Malware Oyster
La infección arranca con un documento señuelo que trae una macro VBA ofuscada. Cuando el usuario la activa, la macro contacta a un servidor remoto y descarga un loader que luego se carga en memoria en lugar de dejarse como un ejecutable en disco. Esa técnica hace que la amenaza sea más sigilosa y complica el análisis forense tradicional.
El cargador descifra las cargas útiles usando una rutina personalizada y, una vez en memoria, desempaqueta módulos adicionales bajo demanda. Gracias a su diseño modular, DarkCloud puede añadir funcionalidades específicas (por ejemplo, exfiltración de archivos o captura de pantalla) según convenga al atacante, sin necesidad de desplegar nuevos binarios en el equipo.
Para mantenerse activo en el sistema, el malware establece mecanismos de persistencia y se integra con procesos legítimos del sistema operativo, lo que aumenta su capacidad de supervivencia y de evasión. Además, la arquitectura por módulos permite a los operadores alternar y combinar componentes para maximizar la recolección de datos y reducir las huellas forenses.
Ante este escenario, las defensas tradicionales basadas solo en firmas suelen quedarse cortas. Es clave monitorizar comportamientos anómalos (por ejemplo, sesiones HTTPS fuera de lo habitual o procesos que inyectan código en otros ejecutables) y complementar con análisis de comportamiento, EDR y correlación de logs. El intercambio rápido de inteligencia y una respuesta coordinada ante incidentes son esenciales para contener y mitigar las tácticas adaptativas de DarkCloud.
Y aquí es donde entra en juego contar con un Centro de Operaciones de Seguridad (SOC). Un SOC como el de TecnetOne ofrece monitorización 24/7, detección avanzada basada en comportamiento y respuesta inmediata a incidentes. Además, realiza hunting proactivo, análisis forense y aprovecha inteligencia de amenazas para anticiparse a ataques como DarkCloud.
En la práctica, esto significa reducir drásticamente el tiempo de detección, contener la amenaza antes de que se expanda y reforzar la seguridad a largo plazo. Con un SOC especializado, las organizaciones no solo reaccionan: se mantienen un paso adelante de los atacantes.