Investigadores desmantelan el funcionamiento interno de pkr_mtsi, una herramienta de ofuscación avanzada que permite a los cibercriminales evadir antivirus mientras distribuyen instaladores falsos de PuTTY, Rufus y Microsoft Teams.
El ecosistema del “Malvertising” (publicidad maliciosa) tiene un nuevo motor bajo el capó. Un análisis profundo ha revelado los detalles técnicos de pkr_mtsi, un “packer” (empaquetador) de Windows que ha estado activo y evolucionando desde abril de 2025.
Esta herramienta no está ligada a una sola familia de malware; funciona como un servicio de entrega agnóstico, permitiendo a diversos actores de amenazas distribuir troyanos como Vidar Stealer, Oyster, Vanguard y Supper bajo una misma capa de protección evasiva.
El Cebo: Software Popular
La estrategia de distribución es clásica pero efectiva:
- SEO Poisoning y Google Ads: Los atacantes compran anuncios o manipulan resultados de búsqueda para que sus sitios falsos aparezcan antes que los oficiales.
- Imitación Perfecta: Crean réplicas convincentes de páginas de descarga para herramientas esenciales de TI como PuTTY, Rufus, 7-Zip y Microsoft Teams.
- El Payload: Al descargar el supuesto instalador, la víctima recibe el archivo empaquetado con pkr_mtsi.
Evolución Técnica: Evasión y Ofuscación
Lo que distingue a pkr_mtsi es su rápida evolución para burlar el análisis de seguridad:
- Reconstrucción de Payload: En lugar de guardar el malware cifrado en un bloque grande, el packer lo divide en miles de fragmentos pequeños (chunks) de 1 a 8 bytes, escondiéndolos dentro del flujo de instrucciones del código. Luego, los reconstruye dinámicamente en la memoria.
- Llamadas Basura (Junk Code): Inunda el proceso con llamadas inútiles a la API gráfica de Windows (GDI), lo que frustra a los emuladores y analistas humanos que intentan entender el flujo del programa.
- Resolución de API por Hash: Las versiones recientes ya no contienen nombres de funciones legibles (como “VirtualAlloc”). En su lugar, utilizan hashes y recorren la estructura interna de Windows (PEB) para encontrar las funciones que necesitan, haciendo que el análisis estático sea mucho más difícil.
Una Amenaza Persistente
Aunque los antivirus a veces lo detectan con nombres genéricos como “Trojan:Win32/Oyster” o mediante firmas de “shellcoderunner”, la capacidad del packer para cambiar su estructura interna le ha permitido mantener una tasa de éxito preocupante.
El análisis también descubrió variantes en formato DLL que aprovechan funciones como DllRegisterServer, permitiendo que el malware se ejecute utilizando procesos legítimos de Windows como regsvr32.exe, una técnica conocida como “Living off the Land” que a menudo evade las listas blancas de aplicaciones.
Recomendaciones
- Bloqueo de Anuncios: Utilizar bloqueadores de publicidad (AdBlockers) a nivel de navegador o red corporativa para reducir la exposición a anuncios maliciosos en buscadores.
- Verificación de Fuentes: Instruir a los empleados para que siempre verifiquen el dominio de descarga. Un instalador de Microsoft Teams nunca debería descargarse de microsoft-teams-update[.]xyz.
- Hash y Firma: Comprobar siempre la firma digital de los instaladores. El software legítimo de empresas como Microsoft o los desarrolladores de PuTTY siempre está firmado digitalmente por la entidad correcta.
