Expertos en ciberseguridad y detección proactiva de amenazas, detectaron una campaña que utiliza un loader disfrazado de Adobe para distribuir DCRat, un troyano derivado de AsyncRAT.
La amenaza se propaga en la región, con foco en Colombia y Ecuador, y pretende hacerse pasar por una aplicación legítima de Adobe manipulando los metadatos del archivo ejecutable para aparentar legitimidad. Sin embargo, el archivo carece de firma digital válida, lo que confirma su origen fraudulento.
El objetivo de la campaña es infectar a las víctimas con DCRat. La cadena de infección inicia con archivos comprimidos cuyos nombres aparentan ser comunicaciones judiciales o gubernamentales —por ejemplo: “Informe Especial Notificado Nro. 113510000548595265844”—, lo que, según Eset, sugiere propagación vía correo electrónico.
Este método coincide con investigaciones previas de Eset en la región: se usa malspam que explota temáticas que generan temor o urgencia para aumentar la probabilidad de que el destinatario ejecute el archivo malicioso.
“Al analizar los metadatos, se observa que buscan aparentar ser de la aplicación Adobe, pero no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un binario legítimo emitido por la compañía”, comenta Martina López, investigadora de seguridad informática de ESET Latinoamérica.
DCRat es uno de los forks más propagados de AsyncRAT e incorpora las funcionalidades típicas de un troyano de acceso remoto, entre las que destacan: captura de pantalla y webcam; registro de teclas (keylogger); administración de archivos y procesos; ejecución remota de comandos (CMD/PowerShell); carga y descarga de archivos; acceso a credenciales almacenadas (navegadores y sistemas); persistencia mediante modificaciones en el registro o carpetas de inicio; autoactualización del binario; y plugins adicionales descargables desde el servidor de comando y control (C&C).
Inicialmente, el código malicioso envía información básica del sistema al servidor de C&C para identificar a la víctima y para que los atacantes decidan la ejecución de otras amenazas en el equipo.
“Más allá de modificaciones estructurales, entre las ‘mejoras’ más destacables que ofrece DCRat con respecto a AsyncRAT está el robustecimiento de las capacidades anti-análisis. Por ejemplo, incluye una función que aborta la ejecución si detecta procesos relacionados con análisis dinámico de malware o monitoreo del sistema. DCRat también implementa técnicas de evasión como la desactivación de componentes AMSI y ETW patching, que desactivan funciones de seguridad que detectan y registran comportamientos maliciosos”, complementa López.
