Un nuevo troyano de acceso remoto (RAT) llamado ResolverRAT está siendo utilizado para atacar a organizaciones del sector farmacéutico y sanitario en todo el mundo, según reveló la firma de ciberseguridad Morphisec.
¿Cómo se propaga ResolverRAT? ✉️
ResolverRAT se distribuye a través de correos de phishing que simulan ser notificaciones legales o por violación de copyright. Los mensajes están adaptados al idioma del país objetivo, aumentando su credibilidad.
Incluyen un enlace para descargar un archivo ejecutable legítimo (hpreader.exe), que luego inyecta ResolverRAT en la memoria usando carga reflexiva de DLL.
Técnicas avanzadas para evadir detección ️
ResolverRAT opera completamente en memoria, usando eventos .NET ResourceResolve para cargar código malicioso sin utilizar llamadas API sospechosas.
“Este secuestro del resolvedor de recursos representa una evolución del malware: opera enteramente en memoria administrada, burlando los métodos clásicos de detección”, explicó Morphisec.
El troyano usa una máquina de estados compleja para ofuscar el flujo de control y hacer casi imposible el análisis estático. Además, detecta entornos de análisis o sandbox mediante el rastreo de peticiones de recursos.
Incluso cuando se ejecuta en presencia de herramientas de depuración, su código es engañoso, redundante y difícil de rastrear.
Persistencia y evasión inteligente
Para asegurar su permanencia en el sistema, ResolverRAT guarda claves ofuscadas con XOR en hasta 20 ubicaciones del Registro de Windows y también se copia en carpetas como Startup, Program Files y LocalAppData.
En cuanto a su comunicación, establece callbacks a intervalos aleatorios para no seguir patrones detectables.
Cada comando recibido se ejecuta en un hilo independiente, lo que permite tareas paralelas y evita que errores cuelguen el programa.
Robo de datos en fragmentos ️
Aunque Morphisec no detalló todos los comandos que soporta ResolverRAT, confirmó que incluye capacidad de exfiltración de datos.
Archivos de más de 1 MB se dividen en fragmentos de 16 KB para evadir mecanismos de detección, mezclando el tráfico malicioso con el tráfico normal.
Antes de enviar cada fragmento, verifica que el socket esté listo, lo que mejora la estabilidad en redes inestables. Además, puede reanudar transferencias desde el último fragmento exitoso.
Alcance global
Los ataques han sido observados en múltiples idiomas: italiano, checo, hindi, turco, portugués e indonesio, lo que indica una operación a escala mundial, con posibilidad de expansión.