Los ciberdelincuentes están ocultando código letal dentro de imágenes PNG y parcheando las defensas nativas de Windows para ejecutar un robo masivo de datos desde la memoria RAM.
Una sofisticada campaña de robo de credenciales ha emergido utilizando una herramienta denominada “VIP Keylogger”. A diferencia del malware convencional, este registrador de pulsaciones se ejecuta completamente en la memoria del sistema, lo que dificulta enormemente su detección por parte de las herramientas de seguridad tradicionales.
Analistas de seguridad identificaron inicialmente esta amenaza mientras investigaban actividades sospechosas en la plataforma VirusTotal. El ataque comienza típicamente con correos electrónicos engañosos (spear-phishing) que instan a las víctimas a abrir lo que aparenta ser una orden de compra estándar. En realidad, el archivo adjunto es un archivo comprimido RAR que contiene un ejecutable malicioso (con nombres ofuscados como ÜRÜN ÇİZİMİ VE TEKNİK ÖZELLİKLERİ_xlsx.exe), el cual extrae y ejecuta el código directamente en la memoria sin tocar jamás el disco duro.
Un Servicio Modular de Robo Masivo
La investigación determinó que este programa se comercializa bajo el lucrativo modelo de “Malware como Servicio” (Malware-as-a-Service o MaaS). Durante el análisis forense, se encontró que características avanzadas como AntiVM, ProcessKiller y DownloaderFile estaban desactivadas (configuradas en NULL), lo que sugiere que su diseño es modular y los clientes cibercriminales solo reciben las funciones específicas por las que pagan.
Una vez que logra activarse, VIP Keylogger se convierte en una máquina de recolección de datos que extrae información y la envía al exterior a través de múltiples canales de red (FTP, SMTP, Telegram, HTTP POST o Discord). Su alcance de robo incluye:
- Navegadores web: Roba de forma estructurada cookies, credenciales de inicio de sesión, información de tarjetas de crédito e historiales de navegación de docenas de plataformas basadas en Chromium (como Chrome, Brave, Edge, Opera) y plataformas basadas en Firefox (como Firefox, Thunderbird y Waterfox).
- Clientes de correo electrónico: Compromete cuentas y extrae contraseñas (para protocolos POP3, IMAP, SMTP y HTTP) de aplicaciones corporativas como Outlook, Foxmail, ThunderBird y Postbox.
- Plataformas de comunicación y transferencia: Extrae tokens de sesión y detalles de servidores internos de plataformas como Discord, FileZilla y Pidgin.
Dos Caminos de Infección Invisibles
Para asegurar su ejecución sin dejar rastro forense evidente, la cadena de infección sigue dos rutas tecnológicas distintas diseñadas para evadir las defensas modernas.
En el primer método, el archivo malicioso es un ejecutable PE de .NET que utiliza activamente la esteganografía (la técnica de ocultar código dentro de archivos de formato aparentemente inofensivo) para esconder dos archivos DLL dentro de su sección de recursos internos. El primer archivo, Turboboost.dll, extrae automáticamente al segundo, llamado Vertical bars.dll. Este último contiene la carga útil final de VIP Keylogger escondida estratégicamente dentro de una imagen con formato PNG. Finalmente, el malware se despliega mediante “vaciamiento de procesos” (process hollowing), una técnica donde un proceso legítimo del sistema se lanza en estado suspendido y su memoria original es reemplazada con el código del atacante.
En el segundo método de ataque, un archivo PE estándar almacena bytes fuertemente cifrados con el estándar AES en su sección .data. Tras descifrarlos de forma dinámica en la memoria, el malware busca y parchea agresivamente el Anti-Malware Scan Interface (AMSI) y el Event Tracing for Windows (ETW), neutralizando los principales sistemas de registro y escaneo de los que dependen los productos antivirus y EDR. Con estas barreras defensivas completamente “ciegas”, VIP Keylogger se carga limpiamente y comienza su labor de espionaje.
