Redazione RHC : 25 octubre 2025 09:12
Ha aparecido en el mercado cibercriminal una herramienta que rápidamente se ha convertido en un arma de fabricación masiva para decenas de grupos. Se trata de HeartCrypt , un servicio de empaquetado de malware que se hace pasar por una aplicación legítima.
Los investigadores de Sophos han estado monitoreando su actividad y descubrieron que los atacantes están usando este mecanismo para distribuir ladrones, troyanos RAT e incluso utilidades de desactivación de soluciones de seguridad , todos usando las mismas técnicas de ingeniería social y sustitución de código.
Los expertos recopilaron miles de muestras y descubrieron casi mil servidores de comando y control, más de doscientos proveedores fraudulentos y campañas en varios continentes. Basándose en la naturaleza de sus acciones, los investigadores vincularon la mayoría de los incidentes a esta operación. A primera vista, todo parece familiar : correos electrónicos falsificados, bóvedas de contraseñas, almacenamiento en Google Drive y Dropbox , pero bajo la apariencia de aplicaciones comunes se esconde un complejo mecanismo para implantar y ejecutar módulos maliciosos.
La técnica es sencilla y eficaz. Se inyecta código independiente de la posición en archivos EXE y DLL legítimos y se ejecuta directamente desde la sección .text. Los archivos con encabezado BMP se añaden a los recursos, seguidos de una carga útil cifrada. El cifrado se implementa mediante XOR con una clave ASCII fija, que suele repetirse en la cola del recurso.
El código principal implementa la segunda capa, evitando analizadores con un alto número de saltos y bytes innecesarios. Comprueba el entorno en busca de importaciones ficticias y funciones típicas del emulador, y en condiciones normales restaura y ejecuta la carga útil mediante las API estándar: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx y CreateRemoteThread. Para mayor robustez, el archivo se copia a una ubicación silenciosa en el disco, se rellena con ceros hasta cientos de megabytes y se añade al inicio.
Las campañas demuestran técnicas típicas de ingeniería social. En Italia, se enviaron correos electrónicos con infracciones de derechos de autor a Dropbox mediante el acortador t.ly. Los archivos contenían un lector de PDF y una DLL falsa, lo que provocó que una variante de Lumma Stealer ejecutara un ataque C2 contra los dominios .sbs y .cyou. En Colombia, se protegieron con contraseña archivos ZIP maliciosos en Google Drive, utilizando el código especificado «7771» para descomprimirlos, tras lo cual se instaló AsyncRAT. En otros casos, se reveló que «PDF» era un ancla LNK, se ejecutó PowerShell y se instaló Rhadamanthys. Los nombres de los archivos se localizan deliberadamente, desde las notificaciones en español hasta las etiquetas en francés y coreano, para aumentar la probabilidad de que el destinatario los abra.
Preocupa especialmente la presencia de una herramienta de seguridad llamada AVKiller entre las cargas útiles. Se ha detectado en relación con operaciones de ransomware: en un caso, un módulo malicioso que contenía HeartCrypt descargó AVKiller , protegido por VMProtect y equipado con un controlador con una firma comprometida; en otro caso, se observaron indicios de cooperación entre diferentes grupos, lo que agrava aún más la situación para el entorno cercano a las víctimas. La escala y la diversidad de las cargas útiles indican que HeartCrypt no está aislado en el ecosistema, sino que su disponibilidad y facilidad de configuración lo convierten en una herramienta fiable para los atacantes.
Los hallazgos clave son simples: el empaquetador disfraza código malicioso como programas conocidos, utiliza un cifrado simple pero robusto, explota la confianza en el almacenamiento en la nube y los acortadores de URL, y las cargas útiles finales abarcan desde ladrones estándar hasta utilidades de desactivación de seguridad, lo que aumenta significativamente el riesgo de una campaña de cifrado posterior. Los sistemas de seguridad solo pueden monitorear indicadores de recursos de sitios de compromiso e inyección, monitorear recursos APK/PE inusuales y bloquear transiciones sospechosas a enlaces en la nube.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
