No mires las estrellas: un virus oculto en los píxeles de este JPG te roba las contraseñas

A mediados de este año, especialistas de la empresa Arctic Wolf detectaron una campaña maliciosa a gran escala que se propagó por América del Sur, África y Europa del Este. Su base fue una herramienta de raíces brasileñas llamada Caminho — cargador universal de programas maliciosos, distribuido según un modelo de servicio de alquiler. Desde su aparición ha sufrido una evolución considerable, y en junio adquirió una capacidad nueva: enmascarar código malicioso dentro de imágenes mediante esteganografía LSB. Esto permitió eludir las defensas tradicionales y ampliar el alcance de los ataques.

Inicialmente las víctimas recibían correos con archivos comprimidos que contenían archivos JavaScript o VBScript, disfrazados de correspondencia comercial. Al ejecutarlos, descargaban scripts de PowerShell desde servicios externos como «paste.ee». Esos scripts, a su vez, descargaban imágenes de sitios como archive.org. A simple vista eran archivos JPG o PNG comunes —por ejemplo, con escenas espaciales—, pero en sus píxeles aparentemente inocuos se ocultaban componentes ejecutables cifrados.

Los scripts de PowerShell, mediante un conjunto específico de bytes, localizaban en el archivo gráfico un segmento BMP incrustado, extraían de allí una biblioteca .NET cifrada y la cargaban directamente en la memoria. Ese componente es el cargador Caminho, capaz de descargar y ejecutar cualquier programa malicioso sin crear archivos en el disco. Todo el proceso se desarrolla en la memoria RAM, lo que permite evadir la mayoría de los antivirus. Para asegurar la ejecución persistente se crea una tarea en el Programador de tareas de Windows que apunta a las mismas URL desde las que se descargó inicialmente el código malicioso.

El análisis de más de 70 ejemplares distintos de Caminho reveló una arquitectura estable y señales características, incluidos variables y comentarios en portugués, así como referencias al uso del foro HackForums. Los mecanismos para detectar máquinas virtuales, entornos de sandbox y depuradores están integrados en cada muestra, lo que dificulta aún más el análisis.

El cargador está diseñado como una herramienta universal: puede usarse con cualquier URL que conduzca al archivo malicioso final. Ese enfoque apunta al modelo LaaS — Loader-as-a-Service. En lugar de distribuir su propio malware, los autores ofrecen a clientes la infraestructura de entrega y una envoltura ejecutable en la que éstos pueden insertar sus cargas útiles.

En el marco de esta campaña se registraron entregas de varios tipos de programas maliciosos. Entre ellos están la herramienta RAT REMCOS, el software espía XWorm y el ladrón de credenciales Katz Stealer. Todos ellos se emplearon en distintos países, incluidas Brasil, Polonia, Ucrania y Sudáfrica. Es notable que las mismas imágenes que enmascaran el cargador aparecen en varios ataques —otra confirmación del carácter de servicio de la plataforma Caminho.

La infraestructura del proyecto también está diseñada pensando en la resiliencia y la escalabilidad. Además de plataformas legítimas como archive.org y catbox.moe, se emplearon dominios relacionados con hosting bulletproof, por ejemplo Railnet LLC, conocido por sus vínculos con grupos cibercriminales de la CEI. Plataformas de tipo pastebin se usaron para almacenar scripts intermedios, lo que facilitó la actualización de las campañas y complicó la detección.

Aunque la mayor parte de los ataques estaba dirigida a usuarios en Brasil, la geografía se amplió rápidamente, abarcando varios continentes. Los cebos variaban desde facturas falsificadas hasta correos con solicitudes comerciales, frecuentemente en portugués. Esto apunta a una táctica de ingeniería social cuidadosamente diseñada, orientada a trabajadores de oficina y al entorno corporativo.

La ausencia de un enfoque en infraestructuras críticas, junto con la amplia gama de cargas finales, sugiere que tras la operación hay un grupo con fines comerciales. Su objetivo no es el espionaje, sino obtener ganancias sistemáticas mediante el robo de datos, el control remoto de máquinas infectadas y su uso posterior en esquemas opacos.