Campaña de malware de múltiples etapas abusa de herramientas legítimas y distribuye ransomware y Amnesia RAT

El sector de CTI de ICS identificaron recientemente una campaña de malware altamente sofisticada y compuesta por múltiples etapas, cuyo principal objetivo son usuarios ubicados en Rusia. La operación llama la atención por el uso extensivo de ingeniería social, el abuso de herramientas legítimas de Windows y la explotación de servicios ampliamente confiables, como GitHub y Dropbox, para alojar payloads maliciosos.

El ataque comienza con documentos aparentemente inofensivos presentados como materiales rutinarios de trabajo y evoluciona rápidamente hacia un compromiso total del sistema, que incluye espionaje, desactivación de mecanismos de seguridad, implementación de backdoors, ransomware y un WinLocker para el bloqueo completo de la máquina.

Ingeniería social como punto de entrada

El vector inicial de infección es un archivo comprimido que contiene varios documentos falsos, como archivos de texto y hojas de cálculo con nombres en ruso relacionados con tareas financieras y contables. Estos archivos actúan como señuelos, reforzando la apariencia de legitimidad y aumentando la probabilidad de interacción por parte de la víctima.

Entre los archivos del paquete, destaca un acceso directo malicioso (.LNK) disfrazado como un simple documento de texto. Al ejecutarlo, inicia PowerShell con la política de ejecución ignorada, descargando y ejecutando remotamente un script alojado en GitHub. En esta etapa no se explota ninguna vulnerabilidad; el éxito del ataque depende exclusivamente de la acción del usuario.

Scripts en múltiples capas y ejecución silenciosa

El script inicial en PowerShell actúa como un cargador ligero que oculta su ejecución, crea un documento señuelo con instrucciones falsas de trabajo y abre dicho archivo automáticamente para mantener ocupado al usuario. Mientras tanto, la ejecución real se lleva a cabo en segundo plano.

Como confirmación de éxito, el script envía información básica del sistema comprometido a los atacantes mediante la API de Telegram. Tras un retraso intencional, descarga una segunda etapa en VBScript, fuertemente ofuscada con herramientas comerciales y rutinas de cifrado personalizadas, lo que dificulta la detección y el análisis estático.

Esta segunda etapa funciona como el orquestador central de la campaña, reconstruyendo dinámicamente el código final únicamente en memoria mediante una combinación de Base64 y RC4 antes de ejecutar el payload real.

Escalada de privilegios y neutralización de defensas

Antes de avanzar a acciones más agresivas, el malware verifica si posee privilegios administrativos. De no ser así, entra en un bucle persistente de elevación mediante UAC hasta obtener acceso elevado.

Con los privilegios garantizados, la campaña inicia una fase dedicada a neutralizar las defensas. Microsoft Defender es desactivado progresivamente mediante comandos de PowerShell, modificaciones en el registro y eliminaciones estratégicas de directorios ampliamente utilizados por el sistema. Este proceso reduce drásticamente la capacidad de detección de archivos y comportamientos maliciosos.

Uno de los puntos más relevantes es el uso operativo de la herramienta Defendnot, creada originalmente como prueba de concepto para demostrar debilidades en el modelo de confianza del Windows Security Center. Los atacantes la utilizan para registrar un antivirus falso en el sistema, obligando a Windows a desactivar automáticamente Microsoft Defender sin detener directamente sus servicios.

Espionaje y recolección de información

Con las defensas neutralizadas, el ataque entra en una fase de reconocimiento y vigilancia activa. Información detallada del sistema, usuario, hardware y red es recopilada y enviada a los atacantes a través de Telegram.

Además, se implementa un módulo adicional para capturar capturas de pantalla de la víctima a intervalos regulares durante aproximadamente quince minutos. Las imágenes son exfiltradas casi en tiempo real, permitiendo a los operadores observar la actividad del usuario y evaluar el valor del objetivo.

Bloqueo del sistema y eliminación de opciones de recuperación

Para impedir cualquier intento de respuesta o remediación, el malware aplica una serie de restricciones al sistema operativo. Herramientas administrativas como el Editor del Registro, el Administrador de Tareas, el Panel de Control y utilidades de configuración son deshabilitadas mediante políticas del registro.

Paralelamente, se destruyen los mecanismos de recuperación: el Entorno de Recuperación de Windows es desactivado, los catálogos de copia de seguridad se eliminan y todas las copias de sombra (VSS) son borradas. Estas acciones hacen extremadamente difícil recuperar el sistema sin una reinstalación completa.

El ataque también modifica las asociaciones de archivos en Windows, impidiendo la apertura de ejecutables, documentos, imágenes y otros formatos. Al intentar abrir cualquier archivo, la víctima recibe un mensaje instruyéndole a contactar a los atacantes vía Telegram.

Amnesia RAT, ransomware y WinLocker

En la etapa final, la campaña despliega múltiples payloads de alto impacto. El principal es Amnesia RAT, distribuido desde Dropbox y disfrazado como un archivo legítimo del sistema. El malware proporciona control remoto total, robo extensivo de credenciales, secuestro de sesiones de Telegram, robo de datos de navegadores, carteras de criptomonedas y monitoreo continuo de la actividad del usuario.

Luego, se ejecuta un ransomware derivado de la familia Hakuna Matata, que cifra archivos con una extensión personalizada y deja notas de rescate en ruso. El malware también finaliza procesos críticos, cambia el fondo de pantalla e implementa capacidades de clipbanker, alterando direcciones de criptomonedas copiadas al portapapeles.

Finalmente, se activa un componente WinLocker, bloqueando completamente la interfaz del sistema y mostrando mensajes que presionan a la víctima para contactar a los atacantes en un plazo limitado.

Consideraciones finales

Esta campaña demuestra cómo ataques modernos pueden lograr un compromiso total sin explotar vulnerabilidades técnicas, utilizando únicamente ingeniería social, servicios legítimos y funcionalidades nativas del sistema operativo. El abuso de plataformas como GitHub, Dropbox y Telegram permite que el tráfico malicioso se mezcle con actividades legítimas, dificultando la detección y la respuesta.

El caso refuerza la importancia de monitorear cambios inesperados en configuraciones de seguridad, políticas del sistema, mecanismos de persistencia y el uso anómalo de herramientas administrativas. Una vez que las defensas y las opciones de recuperación son neutralizadas, el impacto se intensifica rápidamente y las posibilidades de contención se vuelven extremadamente limitadas.

Recomendaciones de mitigación y defensa

• Bloquear o restringir la ejecución de archivos .LNK desde carpetas de usuario (Descargas, Escritorio, Temp)

• Restringir la ejecución de PowerShell y VBScript mediante AppLocker, WDAC o políticas equivalentes

• Monitorear el uso de PowerShell con parámetros como ExecutionPolicy Bypass e Invoke-Expression (iex)

• Habilitar y monitorear registros avanzados de PowerShell (Script Block y Module Logging)

• Detectar y alertar sobre cambios en la configuración de Microsoft Defender

• Monitorear la creación de exclusiones amplias de directorios en Defender

• Investigar el registro inesperado de nuevos productos de seguridad en Windows Security Center

• Monitorear el uso de herramientas administrativas nativas (vssadmin, wbadmin, reagentc, gpupdate)

• Monitorear modificaciones en claves del registro

• Detectar cambios masivos en asociaciones de archivos en el registro (HKCR)

• Monitorear la creación y ejecución de archivos .scr fuera de contextos legítimos

• Garantizar copias de seguridad offline o inmutables y probar la restauración periódicamente

• Priorizar soluciones EDR con detección basada en comportamiento y respuesta automatizada