No todos los ciberataques vienen con alertas llamativas o mensajes dramáticos. A veces, todo empieza con un archivo que parece completamente normal, inofensivo… pero que en realidad es la puerta de entrada a algo mucho más serio. Así es como opera DCRat, un malware que se ha vuelto muy popular entre los atacantes por ser barato, fácil de usar y, sobre todo, increíblemente sigiloso.
Recientemente, la Unidad de Investigación de Amenazas de Acronis (TRU) se topó con una muestra particularmente interesante: una cadena de infección que, aunque incluía amenazas conocidas, tenía algunos giros nuevos en cuanto a focalización y técnicas de ofuscación. La muestra analizaba un proceso de infección multietapa, en el que se combinaban Visual Basic Script (VBS), archivos por lotes y scripts en PowerShell para terminar desplegando malware de alto perfil como DCRat o el ladrón de información Rhadamanthys.
Infección inicial: El archivo que no deberías haber abierto
Todo arranca con un correo que a simple vista, no parece nada raro. El asunto suena serio, incluso urgente, y viene con un archivo adjunto en formato RAR llamado "Citación por embargo de cuenta". Un nombre que claramente busca generar preocupación y hacer que quien lo reciba lo abra sin pensarlo dos veces —especialmente si habla español.
Al descomprimir el archivo, lo que aparece es un script en Visual Basic (VBS). Hasta aquí, todavía podría parecer inofensivo… pero apenas se ejecuta, comienza todo el proceso: un mecanismo en varias etapas que prepara el terreno para que se instale la verdadera amenaza. Y sí, todo empezó con ese archivo que parecía solo un aviso urgente.
Un proceso en varias etapas (y bien camuflado)
El script en VBS no viene solo y no es nada directo. Está fuertemente ofuscado, lo que básicamente significa que su código está tan enredado y disfrazado que a los antivirus les cuesta un montón detectar qué está haciendo en realidad. Es como si hablara en clave para pasar desapercibido mientras prepara el camino para lo que viene después.
Cuando se ejecuta el VBS, no se detiene ahí. Lo que hace después es crear un archivo .BAT (sí, esos archivos por lotes clásicos de Windows) y le pasa la posta. Este nuevo archivo es el que sigue con el trabajo sucio: arma una cadena codificada en Base64 usando variables del sistema, todo muy discreto.
Esa cadena que genera en realidad es un script de PowerShell comprimido y bien escondido, que luego se ejecuta usando el comando -command. Es decir, el ataque sigue avanzando, pero todo ocurre tras bambalinas, sin levantar sospechas.
Acá es donde el PowerShell entra en acción y se vuelve una pieza clave en todo este lío. Lo que hace es leer la última línea del archivo BAT, limpia unos bytes que solo están ahí como marcadores, y después decodifica la carga maliciosa que estaba oculta. Básicamente, es el paso final antes de que se libere lo pesado.
Una vez que todo lo anterior hizo su parte, se llega a la carga útil real, que es un ejecutable hecho en .NET para Windows. Pero no se ejecuta como cualquier archivo normal: se carga directamente en la memoria usando una técnica bastante común entre los malwares llamada RunPE. Básicamente, se mete en un proceso legítimo para esconderse mejor, y todo esto lo hace con ayuda de una biblioteca que le facilita el trabajo.
Este ejecutable viene empaquetado y súper ofuscado, como si estuviera envuelto en varias capas para evitar que alguien entienda lo que hace. Dentro de él hay dos bloques de datos cifrados que están ocultos en los recursos del archivo.
¿Y cómo se descifran? Con una operación clásica en el mundo del malware: XOR, aplicando byte por byte con una clave (en este caso, 0x78). Es una técnica sencilla pero efectiva, y muy usada en este tipo de ataques para mantener todo bien escondido.
Podría interesarte leer: Acronis Cyber Protect Cloud Vuelve a Ganar Premio AV-TEST
Riesgos reales y cómo esquivar este tipo de amenazas
Cuando hablamos de malware como DCRat o el ladrón de información Rhadamanthys, no estamos frente a simples virus. Estas amenazas son serias y, al aprovechar una cadena de distribución tan compleja, pueden causar un daño considerable: desde acceso no autorizado al sistema, hasta robo de datos sensibles o control total del equipo.
El proceso que usan es bastante enredado: varias etapas, distintos lenguajes de scripting, capas y más capas de ofuscación... Todo esto hace que las soluciones de seguridad más tradicionales no siempre puedan detectar lo que está pasando. Cada paso está pensado para pasar desapercibido y llegar a instalar la carga maliciosa sin levantar sospechas.
Ahora bien, tanta complejidad también tiene su punto débil: hay más oportunidades para romper la cadena antes de que el malware se ejecute. Si detectas una parte del proceso temprano (como un script sospechoso o una actividad rara en PowerShell) puedes frenar todo antes de que sea tarde.
Hallazgos curiosos, pistas técnicas... y hasta Nietzsche
El análisis de esta cadena de distribución dejó varios hallazgos interesantes. Pero hubo uno que realmente llamó la atención: en medio del código ofuscado, aparecieron citas de Friedrich Nietzsche —sí, el filósofo alemán del siglo XIX— insertadas en el script de PowerShell.
¿La razón? Probablemente una distracción más, un toque creativo para desorientar a quien intente revisar el código. Algunas de las frases que aparecían eran:
“Siempre hay algo de locura en el amor. Pero también hay algo de razón en la locura.”
“En los individuos, la locura es rara; pero en los grupos, partidos, naciones y épocas, es la regla.”
“En el cielo faltan todas las personas interesantes.”
Después de estas citas, el trabajo no terminaba: todavía quedaba más código ofuscado por desentrañar antes de llegar al corazón del malware.
Este tipo de detalles muestran hasta qué punto los atacantes combinan técnica con creatividad. Y aunque busquen despistar, el equipo de Acronis logró detectar y desmontar todas las piezas de esta compleja cadena.
El informe completo de su análisis sobre DCRat no solo ofrece una visión técnica profunda, sino también ejemplos reales de código y capturas para entender cada parte del proceso. Para profundizar en la metodología y el código de este ataque, puede acceder al informe técnico completo aquí .
La Clave: Seguridad por capas (porque una sola no alcanza)
Para hacerle frente a amenazas tan sofisticadas como estas, no alcanza con un simple antivirus. Lo que se necesita es una estrategia de seguridad en capas, capaz de detectar cosas raras en cada etapa del proceso.
Por ejemplo:
-
En la primera fase, una buena solución puede bloquear correos maliciosos y archivos adjuntos trampa, antes de que alguien los abra.
-
Más adelante, sistemas con análisis de comportamiento y heurísticas avanzadas pueden reconocer patrones sospechosos como scripts ofuscados, archivos BAT que no deberían estar ahí, o ejecuciones raras en PowerShell.
En TecnetOne, una de nuestras principales soluciones es TecnetProtect, una solución avanzada que combina protección en tiempo real, detección extendida (XDR) y tecnologías desarrolladas específicamente para enfrentar estas amenazas modernas. TecnetProtect cuenta con emuladores de scripts propios, que permiten desofuscar y analizar código malicioso antes de que se ejecute, y además monitorea la memoria del sistema para identificar y bloquear cargas ocultas como DCRat, Rhadamanthys o Remcos antes de que hagan daño.
Gracias a este enfoque proactivo y a una arquitectura de seguridad multicapa, TecnetProtect ayuda a frenar incluso los ataques más complejos antes de que lleguen a convertirse en un verdadero problema.
