Se ha detectado recientemente una campaña de malware para Windows que rompe con el esquema tradicional de «infección silenciosa». Se trata de un ataque que combina el sigilo de las técnicas fileless con una interacción directa y descarada: los atacantes utilizan el troyano Pulsar RAT para chatear en tiempo real con los usuarios mientras, en segundo plano, el componente Stealerv37 extrae credenciales y activos criptográficos.
El ataque, documentado recientemente por el equipo Lat61 de Point Wild, comienza con el despliegue de un archivo de procesamiento por lotes (0a1a98b5f9fc7c62.bat) ubicado estratégicamente en la ruta %APPDATA%\Microsoft.
Lo que hace que esta amenaza sea especialmente peligrosa para los sistemas de defensa tradicionales es su metodología de ejecución:
- Técnicas LotL (Living-off-the-Land): El malware no guarda archivos ejecutables comunes en el disco. En su lugar, secuestra herramientas legítimas como PowerShell para cargar su código malicioso directamente en la memoria RAM.
- Inyección mediante Donut: Los atacantes emplean la herramienta de generación de shellcode Donut para inyectar la carga útil en procesos críticos y cotidianos como
explorer.exe. - Mecanismos de Autodefensa: El malware incluye un «watchdog» que monitoriza el proceso malicioso y lo reinicia en segundos si es detectado o cerrado. Además, es capaz de anular las alertas del Control de Cuentas de Usuario (UAC) y el Administrador de Tareas, dejando al usuario sin visibilidad de lo que ocurre en su propio equipo.
A diferencia de otros troyanos de acceso remoto (RAT), Pulsar no solo busca el espionaje pasivo (activación de cámaras o micrófonos), sino que busca el beneficio económico inmediato y la manipulación psicológica de la víctima.
| Componente | Función Principal | Objetivos Específicos |
| Pulsar RAT | Control Remoto e Interacción | Chat en vivo, captura de pantalla, control de periféricos (Webcam/Mic). |
| Stealerv37 | Exfiltración de Datos | Carteras de criptomonedas, cookies de sesión, contraseñas de navegadores. |
| Monitorización de Portapapeles | Fraude Financiero | Intercambia direcciones de carteras cripto copiadas por las del atacante. |
El Dr. Zulfikar Ramzan, jefe del equipo de investigación, señala que se han observado sesiones donde los atacantes interactúan mediante ventanas de chat con las víctimas. Este método suele utilizarse para engañar al usuario y obtener códigos de autenticación multifactor (MFA) o para convencerlo de que la actividad inusual en su PC es parte de una «actualización de sistema».
La exfiltración de los datos robados se realiza de manera eficiente a través de APIs de plataformas legítimas como Discord y Telegram, lo que ayuda a que el tráfico de red pase desapercibido como actividad normal de aplicaciones de mensajería.
Para mitigar este riesgo se recomienda:
- Vigilancia de Procesos: Revisar periódicamente las aplicaciones de inicio en busca de ejecutables con nombres aleatorios o sin firmar.
- MFA Robusto: Priorizar el uso de tokens de hardware (FIDO2) o aplicaciones de autenticación (TOTP) sobre los SMS, que son más vulnerables ante un atacante con control remoto del equipo.
- Endpoint Security: Utilizar soluciones de detección y respuesta (EDR) que monitoricen comportamientos anómalos en memoria, ya que los antivirus basados en firmas no detectarán esta amenaza fileless.
Más información
Malware de Windows utiliza Pulsar RAT para chats en vivo mientras roba datos – Análisis original en Hackread: https://hackread.com/windows-malware-pulsar-rat-live-chats-steal-data/
