Cóctel de virus: por qué llaman a PhantomVAI la navaja suiza de los hackers modernos
Una amenaza camaleónica que confunde a los forenses.
Los analistas de Intrinsec registraron un aumento en la frecuencia de uso del cargador PhantomVAI, que está construido sobre la antigua utilidad RunPE y se emplea en ataques en todo el mundo. La herramienta apareció en varios informes independientes, pero con nombres distintos, lo que creó confusión en las descripciones de las campañas y complicó la correlación de datos entre las publicaciones.
El análisis del material disponible mostró que se trata del mismo cargador, que apareció en investigaciones de actividad maliciosa relacionada con la familia DarkCloud y otras amenazas. En el código se detectó un mecanismo de Process Hollowing implementado mediante la utilidad Mandark. Esta fue desarrollada y publicada hace varios años por un usuario del foro HackForums. Los especialistas examinaron los parámetros de ejecución y la lógica de este instrumento, lo que permitió determinar con mayor precisión la cadena de ejecución y los indicadores de presencia del cargador en el sistema.
La mayoría de las muestras detectadas se hacían pasar por el archivo «Microsoft.Win32.TaskScheduler.dll». Los atacantes tomaron como base un proyecto legítimo de GitHub para dar al componente una apariencia verosímil. Los ejemplares hallados se relacionaron con distintas familias de malware, entre ellas Remcos, XWorm, AsyncRAT, DarkCloud y SmokeLoader. También se observó una gran variedad de cebos de phishing mediante los cuales se distribuía el cargador, lo que indica una amplia adaptación de los esquemas de entrega a diferentes regiones y objetivos.
Los especialistas de Intrinsec señalaron que para rastrear PhantomVAI se han preparado reglas Yara y un conjunto de indicadores de compromiso para buscar rastros de actividad. Según el equipo, los grupos atacantes modernos usan cada vez más herramientas modulares y reutilizan desarrollos antiguos de código abierto, adaptándolos a nuevas tareas. Esto aumenta la dificultad de detección y requiere la actualización constante de los métodos de búsqueda de amenazas.
El informe también subraya que para detectar herramientas de este tipo resulta cada vez más importante la analítica proactiva, la correlación de telemetría y la caza de amenazas en fases tempranas. Este enfoque permite detectar intrusiones con mayor rapidez y reducir el posible daño para las organizaciones.