El objetivo de la campaña es infectar a las víctimas con el troyano DCRat, una variante de AsyncRAT, un software utilizado en diferentes campañas la región. La cadena de infección comienza con archivos comprimidos cuyos nombres parecen provenir de notificaciones judiciales o gubernamentales, como el “Informe de notificación especial n.° 113510000548595265844”, que según ESET sugiere distribución por correo electrónico.

Este método de distribuir archivos comprimidos que contienen malware a través de correos electrónicos de malspam es consistente con investigaciones anteriores de ESET en la región e implica el uso de temas que crean miedo o urgencia en la víctima para aumentar la probabilidad de que el destinatario ejecute el archivo malicioso.

«Tras el análisis de los metadatos, se determina que parecen originarse en la aplicación de Adobe, pero no tienen una firma digital válida o un certificado asociado, lo que confirma que no es un binario legítimo emitido por la empresa». comenta Martina López, investigadora de seguridad informática de ESET Latinoamérica

DCRat es uno de los tantas bifurcaciones existentes de AsyncRAT y una de las más utilizadas a nivel mundial. DCRat cuenta con las funcionalidades típicas de un troyano de acceso remoto, de las que destacan las siguientes:

• Captura de pantalla y cámara web
• Registro de teclas (registrador de teclas)
• Gestión de archivos y procesos.
• Ejecución remota de comandos (CMD/PowerShell)
• Carga y descarga de archivos
• Acceso a los datos de acceso almacenados (navegador, sistemas)
• Persistencia a través de cambios en el registro o carpetas de inicio.
• Actualización automática binaria
• Se pueden descargar complementos adicionales desde el servidor de comando y control

Primero, el código malicioso envía información básica del sistema al servidor C&C, que se utiliza para identificar a la víctima y permitir a los atacantes tomar decisiones sobre la ejecución de otras amenazas en el sistema.

«Aparte de los cambios estructurales, una de las «mejoras» más notables que ofrece DCRat sobre AsyncRAT es el fortalecimiento de las capacidades anti-análisis. Esto se refleja, por ejemplo, en la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos relacionados con el análisis dinámico de malware o el monitoreo del sistema. DCRat también implementa otras técnicas de solución como la desactivación de componentes AARMI así como Parcheo ETWque funcionan desactivando las funciones de seguridad que detectan y registran comportamientos maliciosos”, agrega López de ESET.