En mayo de 2025, una firma contable con sede en Estados Unidos fue blanco de una avanzada campaña de ciberataque, en la que se utilizó el troyano de acceso remoto PureRAT a través de un crypter recientemente comercializado llamado Ghost Crypt, según reportó el equipo de respuesta a amenazas (Threat Response Unit, TRU) de eSentire.

El ataque combinó técnicas de ingeniería social, múltiples etapas de entrega de malware y métodos avanzados de ofuscación, logrando evadir herramientas de seguridad tradicionales.

PureRAT Distribuido mediante Ghost Crypt e Ingeniería Social

El atacante se hizo pasar por un cliente potencial y envió un archivo PDF malicioso que enlazaba a una carpeta de Zoho WorkDrive. Dentro de esa carpeta se encontraba un archivo ZIP disfrazado como documentación fiscal. El archivo contenía un ejecutable con una doble extensión engañosa (.pdf.exe) y una DLL renombrada.

Al ejecutarse, el crypter Ghost Crypt desencriptaba e inyectaba el troyano PureRAT en el proceso legítimo del sistema csc.exe.

Ghost Crypt comenzó a anunciarse en foros de hacking en abril de 2025, destacando su capacidad para evadir los principales antivirus, permitir el sideloading de archivos EXE y DLL, y utilizar una variante personalizada del algoritmo de cifrado ChaCha20. Además, implementa una técnica de inyección conocida como “Process Hypnosis” para cargar el malware sin ser detectado.

Para mantener la persistencia, el atacante añadió una clave en el registro del sistema y copió la DLL maliciosa a la carpeta de documentos del usuario.

Capacidades de Ghost Crypt y Comportamiento del Malware

Entre sus funciones principales, Ghost Crypt ofrece:

• Evasión de Windows Defender y de soluciones basadas en la nube
• Compatibilidad con Windows 11 24H2 y versiones superiores
• Iconos personalizables y ajuste del tamaño de la DLL
• Garantía de supervivencia de 3 días con re-encriptaciones gratuitas
• Soporte para familias de malware como LummaC2, Rhadamanthys y XWorm

En este ataque, se utilizó un programa legítimo (hpreader.exe, de Haihaisoft) para ejecutar la carga útil mediante DLL sideloading, lo que complica la detección de malware al parecer un software confiable.

Una vez inyectado, PureRAT se conecta a servidores de comando y control (C2) para extraer datos del sistema, recopilar información del usuario y buscar billeteras de criptomonedas como Ledger Live y Exodus.

PureRAT: Nuevo Producto Estrella de PureCoder

El ataque confirma que PureRAT ha reemplazado a PureHVNC como la herramienta principal del actor de amenazas conocido como PureCoder.

El malware está empaquetado con ofuscadores de .NET y múltiples capas de cifrado, como AES-256 y GZIP. Además, emplea inyección directa en memoria para ejecutar DLLs, lo que dificulta aún más su detección.

Tras la instalación, PureRAT analiza los navegadores en busca de extensiones de billeteras cripto, y utiliza llamadas a la API SetThreadExecutionState para evitar que el sistema entre en modo de suspensión. Luego transmite la información recolectada y espera nuevas órdenes desde sus operadores.

Recomendaciones para Mitigar Riesgos

Desde eSentire advierten a las organizaciones sobre la importancia de no confiar en solicitudes urgentes provenientes de fuentes desconocidas, especialmente aquellas que incluyan enlaces a plataformas de almacenamiento en la nube.

Entre las medidas recomendadas están:

• Habilitar la visibilidad de extensiones de archivo para identificar nombres engañosos
• Implementar soluciones EDR (detección y respuesta en endpoints)
• Verificar la legitimidad de comunicaciones inesperadas, incluso si aparentan ser inofensivas

Este caso resalta la creciente sofisticación de los ciberataques y la necesidad de adoptar estrategias preventivas más robustas para proteger entornos corporativos sensibles.

Fuente: https://www.infosecurity-magazine.com/news/crypter-malware-targets-accounting/