Campaña de malware VOID#GEIST: Batch scripts como vector para RATs cifrados XWorm, AsyncRAT y Xeno RAT
Introducción
En las últimas semanas, investigadores de Securonix Threat Research han sacado a la luz una sofisticada campaña de malware, bautizada como VOID#GEIST, que recurre a scripts por lotes (batch scripts) altamente ofuscados como vía de entrada para la entrega de múltiples troyanos de acceso remoto (RATs) cifrados. Esta operación maliciosa, aún activa y dirigida principalmente a entornos corporativos, incorpora técnicas avanzadas de evasión y múltiples etapas de ejecución, con el objetivo de desplegar familias de RATs bien conocidas como XWorm, AsyncRAT y Xeno RAT.
Contexto del Incidente o Vulnerabilidad
VOID#GEIST destaca por su enfoque modular y por la utilización de scripts batch como mecanismo inicial de infección, una técnica menos habitual en campañas recientes, donde predominan los documentos ofuscados o los archivos JavaScript. Las víctimas suelen recibir correos electrónicos de phishing con archivos adjuntos o enlaces que descargan el script inicial. Este primer eslabón de la cadena está diseñado para eludir controles tradicionales de seguridad, aprovechando el bajo perfil y la aparente inocuidad de los scripts .bat en sistemas Windows.
El objetivo principal de la campaña es el despliegue de RATs cifrados, capaces de permitir el control remoto del sistema, el robo de credenciales, la exfiltración de información sensible y el movimiento lateral dentro de la red. Las organizaciones que no cuenten con medidas avanzadas de monitorización y respuesta corren un alto riesgo de sufrir brechas de datos y compromiso persistente.
Detalles Técnicos
La cadena de ataque de VOID#GEIST se compone de varias fases:
1. Vector inicial: El usuario ejecuta un archivo batch (.bat) altamente ofuscado, recibido mediante técnicas de phishing. El script recurre a variables ambientales y comandos para evadir soluciones EDR y antivirus tradicionales.
2. Descarga y ejecución de payloads cifrados: El batch script descarga un segundo archivo, generalmente un binario cifrado en base64 o AES, desde servidores legítimos previamente comprometidos o servicios de almacenamiento en la nube.
3. Desofuscación y ejecución: Utilizando herramientas nativas de Windows como PowerShell o cmd.exe, el script descifra el payload y lo inyecta en la memoria, evitando dejar artefactos en disco.
4. Despliegue del RAT: El binario ejecutado corresponde a alguna de las familias identificadas (XWorm, AsyncRAT o Xeno RAT), todas ellas soportando funcionalidades de backdoor, keylogging, captura de pantalla, control de procesos y exfiltración de datos.
MITRE ATT&CK TTPs observadas:
– T1059 (Command and Scripting Interpreter)
– T1027 (Obfuscated Files or Information)
– T1566 (Phishing)
– T1055 (Process Injection)
– T1105 (Ingress Tool Transfer)
– T1204 (User Execution)
Indicadores de Compromiso (IoC) incluyen hash de scripts batch, URLs de descarga, dominios C2 y patrones específicos de tráfico cifrado TLS.
Impacto y Riesgos
La campaña VOID#GEIST representa una amenaza significativa, ya que la carga útil permite a atacantes:
– Obtener persistencia en el sistema.
– Realizar movimientos laterales utilizando credenciales robadas.
– Exfiltrar información confidencial, como contraseñas y archivos corporativos.
– Ejecutar comandos arbitrarios y desplegar ransomware en fases posteriores.
Según estimaciones de Securonix, al menos el 12% de las empresas analizadas en sectores financiero, sanitario y tecnológico han recibido intentos de infección relacionados con VOID#GEIST desde marzo de 2024. El coste medio de una brecha con RATs activos puede superar los 4 millones de euros, además de posibles sanciones regulatorias bajo GDPR o NIS2 por fuga de datos personales.
Medidas de Mitigación y Recomendaciones
Las organizaciones deben implementar un enfoque multinivel para protegerse contra este tipo de amenazas:
– Bloqueo de ejecución de archivos .bat y .cmd provenientes de fuentes externas mediante GPO.
– Monitorización avanzada de scripts mediante herramientas EDR con capacidades de detección basada en comportamiento y análisis de memoria.
– Filtrado de archivos adjuntos y URLs en gateways de correo electrónico.
– Restricción de macros y ejecución de PowerShell en usuarios no administradores.
– Segmentación de red y aplicación estricta de privilegios mínimos.
– Revisión de logs en busca de IoC específicos de la campaña.
– Formación continua a empleados sobre phishing y técnicas de ingeniería social.
Opinión de Expertos
Analistas de Securonix subrayan la creciente profesionalización de los actores detrás de VOID#GEIST, destacando el uso de RATs modulares y cifrados, así como la explotación de scripts batch como vector de ataque. “La combinación de técnicas de living-off-the-land, cifrado de payloads y la entrega por etapas hace que la detección sea especialmente compleja para las organizaciones que dependen exclusivamente de soluciones tradicionales”, apunta el equipo de Threat Research de la compañía.
Implicaciones para Empresas y Usuarios
El auge de campañas como VOID#GEIST refleja la necesidad de revisar los controles técnicos y de concienciación en torno a la ejecución de scripts y la gestión de amenazas persistentes avanzadas (APT). Para los CISOs y responsables de seguridad, se impone la obligación de mantener actualizadas las políticas de seguridad, reforzar las capacidades de respuesta ante incidentes y evaluar regularmente la exposición a vectores menos convencionales.
Además, la integridad de los datos y la continuidad del negocio pueden verse gravemente comprometidas ante una intrusión exitosa, con consecuencias legales y económicas bajo regulaciones como GDPR y NIS2 que exigen notificación de incidentes y responsabilidad sobre la protección de datos personales.
Conclusiones
VOID#GEIST representa un ejemplo paradigmático de la evolución de las campañas de malware basadas en scripts, con un enfoque en la evasión y la modularidad. La detección temprana y la respuesta eficaz requieren una estrategia de defensa en profundidad, combinando tecnología avanzada, formación y actualización constante de los procedimientos de seguridad. Las empresas deben anticipar y bloquear este tipo de amenazas para evitar impactos severos en su operativa y reputación.
(Fuente: feeds.feedburner.com)