Cómo funciona el "IKEA de los hackers" que permite a cualquiera convertir un programa común en un virus

En el mercado del ciberdelito ha aparecido una herramienta que en poco tiempo se ha convertido en un arma masiva para decenas de agrupaciones. Se trata de HeartCrypt — un servicio de empaquetado de programas maliciosos que los disfraza de aplicaciones legítimas habituales. Los especialistas de Sophos rastrearon su actividad y descubrieron que, a través de este mecanismo, los atacantes distribuyen stealers, troyanos RAT e incluso utilidades para desactivar soluciones de protección, utilizando las mismas técnicas de ingeniería social y de sustitución del código del programa.

Los especialistas reunieron miles de muestras y encontraron casi mil servidores de mando y control, más de doscientos proveedores falsos y campañas en varios continentes. Por la naturaleza de las acciones, los investigadores atribuyeron la mayoría de los incidentes a esta operación. A simple vista todo parece un incidente conocido — correos falsos, archivos comprimidos con contraseña, repositorios de Google Drive y Dropbox — pero bajo la apariencia de aplicaciones habituales se oculta un mecanismo complejo de inyección y ejecución de módulos maliciosos.

La técnica es simple y eficaz. En archivos legítimos EXE y DLL se inyecta código independiente de la posición, que se ejecuta directamente desde la sección .text; en los recursos se añaden archivos con encabezado BMP, a continuación de los cuales sigue un módulo útil cifrado. El cifrado se implementa mediante XOR con una clave ASCII fija — que a menudo se ve repetida en la 'cola' del recurso. El código primario desencripta el segundo nivel, evadiendo analizadores mediante un gran número de saltos y bytes basura, comprueba el entorno mediante importaciones ficticias y por funciones características de emuladores, y en condiciones normales reconstruye y ejecuta la carga útil mediante APIs estándar: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx y CreateRemoteThread. Para persistencia, el archivo se copia a un 'lugar silencioso' en el disco, se rellena con ceros hasta cientos de megabytes y se registra en el inicio automático.

Las campañas muestran técnicas comunes en el mercado de ingeniería social. En Italia, los correos sobre infracciones de derechos de autor dirigían a Dropbox a través del acortador t.ly; en los archivos había un lector de PDF y una DLL sustituida, lo que resultó en una variación de Lumma Stealer con un conjunto de C2 en dominios .sbs y .cyou. En Colombia, archivos ZIP maliciosos en Google Drive estaban protegidos con contraseña; el código indicado "7771" se usaba para descomprimir, tras lo cual se instalaba AsyncRAT; en otros episodios el "PDF" resultaba ser un ancla LNK, ejecutaba PowerShell e instalaba Rhadamanthys. Los nombres de archivo se localizan a propósito — desde notificaciones en español hasta etiquetas en francés y coreano — para aumentar la probabilidad de que el destinatario los abra.

Existe una preocupación especial por la aparición entre las cargas útiles de una herramienta para desactivar medidas de protección — AVKiller. Se la ha detectado junto a operaciones de programas cifradores: en un caso, un módulo malicioso empaquetado por HeartCrypt cargaba AVKiller, protegido con VMProtect y provisto de un controlador con firma comprometida; en otro se observaron signos de cooperación entre distintos grupos, lo que hace la situación aún más peligrosa para el entorno de las víctimas. La escala y la diversidad de las cargas demuestran: HeartCrypt no está solo en el ecosistema; sin embargo, su accesibilidad y facilidad de configuración convierten el servicio en una herramienta fiable para los atacantes.

Las conclusiones principales son simples: el empaquetador disfraza el código malicioso como programas habituales, utiliza un cifrado simple pero fiable, explota la confianza en los repositorios en la nube y en los acortadores de enlaces, y las cargas útiles finales varían desde stealers estándar hasta utilidades que inutilizan las defensas, lo que aumenta considerablemente el riesgo de una campaña de cifrado posterior. A la defensa le corresponde vigilar indicadores de compromiso de recursos y lugares de inyección, rastrear recursos APK/PE inusuales y bloquear redirecciones sospechosas a enlaces en la nube.