De JavaScript a esteganografía en un solo ataque. Los ciberdelincuentes crearon un sistema "invisible" para distribuir malware

De JavaScript a esteganografía en un solo ataque. Los ciberdelincuentes crearon un sistema "invisible" para distribuir malware

La confianza en marcas conocidas se ha convertido en la clave para los sistemas de seguridad de otros.

image

A principios de agosto de 2025, los especialistas de Fortinet FortiGuard Labs detectaron una campaña masiva de phishing que distribuye el cargador UpCrypter mediante falsos correos sobre mensajes de voz y pedidos. Los atacantes emplean correos electrónicos cuidadosamente elaborados con enlaces maliciosos que dirigen a páginas falsas que imitan sitios legítimos de empresas. En dichos portales se ofrece al usuario descargar un supuesto archivo importante —un mensaje de voz o un documento PDF— que en realidad contiene código malicioso.

El objetivo principal del ataque es la instalación del cargador UpCrypter, que funciona como conducto para herramientas de control remoto, incluyendo PureHVNC RAT, DCRat (DarkCrystal RAT) y Babylon RAT. Una vez comprometido el sistema, los atacantes obtienen la capacidad de controlar por completo el dispositivo de la víctima.

El escenario de ataque comienza con un correo que incita a hacer clic en un enlace hacia una página fraudulenta. Para aumentar la credibilidad, el sitio inserta automáticamente en el encabezado el dominio de la víctima y carga el logotipo de su organización, creando una apariencia de legitimidad. Desde ese recurso se descarga un archivo ZIP que contiene un fichero JavaScript cifrado.

Tras ejecutarse, el script verifica la conexión a internet y analiza los procesos en el dispositivo, detectando herramientas de depuración, entornos de sandbox y utilidades forenses. Solo después de ello se comunica con un servidor externo para obtener la siguiente etapa del malware.

El cargador puede recibir el módulo final en texto claro o bien oculto dentro de una imagen mediante esteganografía. Además de la variante en JavaScript, los especialistas descubrieron otra versión de UpCrypter escrita en MSIL. Esta opera de forma similar, pero después de verificar el entorno descarga tres componentes adicionales: un script de PowerShell cifrado, una biblioteca DLL y el ejecutable principal. Todos se ensamblan en tiempo de ejecución, lo que permite ejecutar el código malicioso sin escribirlo en el disco y reducir al mínimo las huellas en el dispositivo.

Fortinet señala que esta arquitectura hace que la campaña sea especialmente difícil de detectar. El uso de un cargador con soporte activo, múltiples capas de ocultamiento y diversas herramientas de acceso remoto conforman un ecosistema de entrega flexible, capaz de evadir defensas y mantener persistencia en distintos entornos.

Esta campaña demuestra que incluso los canales de comunicación más habituales se convierten en una vía eficaz para propagar amenazas avanzadas, y que la protección hoy en día requiere no solo barreras técnicas, sino también una constante alerta frente a cada mensaje recibido.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!