Redazione RHC : 25 octubre 2025 09:12
Ha aparecido en el mercado cibercriminal una herramienta que rápidamente se ha convertido en un arma de fabricación masiva para decenas de grupos. Se trata de HeartCrypt , un servicio de empaquetado de malware que se hace pasar por una aplicación legítima.
Los investigadores de Sophos han estado monitoreando su actividad y descubrieron que los atacantes están usando este mecanismo para distribuir ladrones, troyanos RAT e incluso utilidades de desactivación de soluciones de seguridad , todos usando las mismas técnicas de ingeniería social y sustitución de código.
Los expertos recopilaron miles de muestras y descubrieron casi mil servidores de comando y control, más de doscientos proveedores fraudulentos y campañas en varios continentes. Basándose en la naturaleza de sus acciones, los investigadores vincularon la mayoría de los incidentes a esta operación. A primera vista, todo parece familiar : correos electrónicos falsificados, bóvedas de contraseñas, almacenamiento en Google Drive y Dropbox , pero bajo la apariencia de aplicaciones comunes se esconde un complejo mecanismo para implantar y ejecutar módulos maliciosos.
La técnica es sencilla y eficaz. Se inyecta código independiente de la posición en archivos EXE y DLL legítimos y se ejecuta directamente desde la sección .text. Los archivos con encabezado BMP se añaden a los recursos, seguidos de una carga útil cifrada. El cifrado se implementa mediante XOR con una clave ASCII fija, que suele repetirse en la cola del recurso.
El código principal implementa la segunda capa, evitando analizadores con un alto número de saltos y bytes innecesarios. Comprueba el entorno en busca de importaciones ficticias y funciones típicas del emulador, y en condiciones normales restaura y ejecuta la carga útil mediante las API estándar: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx y CreateRemoteThread. Para mayor robustez, el archivo se copia a una ubicación silenciosa en el disco, se rellena con ceros hasta cientos de megabytes y se añade al inicio.
Las campañas demuestran técnicas típicas de ingeniería social. En Italia, se enviaron correos electrónicos con infracciones de derechos de autor a Dropbox mediante el acortador t.ly. Los archivos contenían un lector de PDF y una DLL falsa, lo que provocó que una variante de Lumma Stealer ejecutara un ataque C2 contra los dominios .sbs y .cyou. En Colombia, se protegieron con contraseña archivos ZIP maliciosos en Google Drive, utilizando el código especificado «7771» para descomprimirlos, tras lo cual se instaló AsyncRAT. En otros casos, se reveló que «PDF» era un ancla LNK, se ejecutó PowerShell y se instaló Rhadamanthys. Los nombres de los archivos se localizan deliberadamente, desde las notificaciones en español hasta las etiquetas en francés y coreano, para aumentar la probabilidad de que el destinatario los abra.
Preocupa especialmente la presencia de una herramienta de seguridad llamada AVKiller entre las cargas útiles. Se ha detectado en relación con operaciones de ransomware: en un caso, un módulo malicioso que contenía HeartCrypt descargó AVKiller , protegido por VMProtect y equipado con un controlador con una firma comprometida; en otro caso, se observaron indicios de cooperación entre diferentes grupos, lo que agrava aún más la situación para el entorno cercano a las víctimas. La escala y la diversidad de las cargas útiles indican que HeartCrypt no está aislado en el ecosistema, sino que su disponibilidad y facilidad de configuración lo convierten en una herramienta fiable para los atacantes.
Los hallazgos clave son simples: el empaquetador disfraza código malicioso como programas conocidos, utiliza un cifrado simple pero robusto, explota la confianza en el almacenamiento en la nube y los acortadores de URL, y las cargas útiles finales abarcan desde ladrones estándar hasta utilidades de desactivación de seguridad, lo que aumenta significativamente el riesgo de una campaña de cifrado posterior. Los sistemas de seguridad solo pueden monitorear indicadores de recursos de sitios de compromiso e inyección, monitorear recursos APK/PE inusuales y bloquear transiciones sospechosas a enlaces en la nube.
RedazioneLas operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
Fortinet ha confirmado el descubrimiento de una vulnerabilidad crítica de ruta relativa (CWE-23) en dispositivos FortiWeb, identificada como CVE-2025-64446 y registrada como número IR FG-IR-25-910 ....
Los XV Juegos Nacionales de China se inauguraron con un espectáculo que combinó deporte y tecnología. Entre los aspectos más destacados se encontraban robots capaces de tocar antiguos instrumentos...
El panorama de la ciberseguridad nos ha acostumbrado a cambios constantes. Cada año surgen nuevas amenazas, nuevos escenarios y nuevas tácticas delictivas. Pero hoy en día, no es solo la tecnologí...
