Netcrook Logo
👤 KERNELWATCHER
🗓️ 21 Apr 2026  

Intrusión de Foto Perfecta: Cómo los Hackers convirtieron PNGs inocentes en Malware Invisible

Una nueva campaña de PureRAT esconde ataques sin archivos dentro de imágenes, exponiendo el arsenal en evolución de los ciberdelincuentes.

Todo comienza con un clic: un archivo de acceso directo aparentemente inofensivo que, en segundos, desencadena un sofisticado ciberataque. Investigadores de Trellix han rastreado una nueva campaña en la que los hackers utilizan archivos de imagen cotidianos como portadores encubiertos del malware PureRAT, deslizando cargas maliciosas incluso ante las defensas más vigilantes. ¿La novedad? El código malicioso nunca toca tu disco, dejando a los equipos de seguridad persiguiendo fantasmas digitales.

El Arte del Sigilo: Dentro de la Cadena de Infección Potenciada por PNG

El ataque comienza con un archivo de acceso directo de Windows (.LNK) que, al abrirse, ejecuta silenciosamente un comando oculto de PowerShell. Este comando descarga un VBScript fuertemente ofuscado desde un dominio remoto, que luego se copia a la máquina de la víctima bajo un nombre aleatorio, camuflándose en el entorno digital.

Este script no solo se ejecuta y desaparece: asegura su propia persistencia registrando una tarea programada que se ejecuta cada minuto. Mientras tanto, lo que parece ser datos basura dentro del script es en realidad un cargador de PowerShell incrustado, esperando para activar la siguiente trampa.

La verdadera magia ocurre cuando este cargador descarga dos imágenes PNG aparentemente ordinarias. Estos archivos, cargados con cargas maliciosas hábilmente disfrazadas mediante esteganografía, pasan desapercibidos ante los escaneos de seguridad básicos. Codificados y cifrados dentro de los datos de la imagen están los ejecutables maliciosos reales, invertidos y ofuscados para mayor protección.

En lugar de escribir algo en el disco, el malware se carga directamente en la memoria utilizando avanzadas técnicas de reflexión de PowerShell. Este enfoque “sin archivos” significa que las soluciones antivirus tradicionales, que dependen del escaneo de archivos, resultan casi inútiles.

Para la escalada de privilegios, los atacantes explotan herramientas legítimas de Windows como cmstp.exe para eludir el Control de Cuentas de Usuario (UAC) sin levantar sospechas. El malware incluso desactiva los avisos de UAC modificando el registro de Windows, asegurando acceso sin restricciones al sistema.

Durante todo el proceso, los atacantes emplean comprobaciones anti-máquina virtual y “process hollowing” - inyectando su código en procesos confiables de Windows como msbuild.exe - para enturbiar aún más las aguas y complicar la detección.

Expertos en seguridad advierten que monitorear tareas programadas no autorizadas, restringir la ejecución de scripts y bloquear dominios maliciosos conocidos son defensas esenciales. Pero, como demuestra esta campaña, los ciberdelincuentes innovan más rápido que nunca, convirtiendo archivos cotidianos en armas silenciosas.

Conclusión: Cuando las Imágenes se Convierten en Vectores de Ataque

La campaña de PureRAT con PNG es un recordatorio contundente: en el juego del gato y el ratón de la ciberseguridad, los atacantes siempre buscan nuevos camuflajes. Al convertir imágenes inocuas en caballos de Troya digitales, la vigilancia y las defensas en capas son más cruciales que nunca. La próxima vez que descargues un simple PNG, podría ser algo más que una imagen.

WIKICROOK

  • Esteganografía: La esteganografía oculta mensajes secretos o código dentro de archivos cotidianos, como imágenes o audio, haciendo que la información oculta sea difícil de detectar.
  • Malware sin archivos: El malware sin archivos es software malicioso que se ejecuta en la memoria de un ordenador, evitando el almacenamiento en disco y dificultando su detección por herramientas de seguridad tradicionales.
  • PowerShell: PowerShell es una herramienta de scripting de Windows utilizada para automatización, pero los atacantes suelen explotarla para realizar acciones maliciosas de forma sigilosa.
  • Evasión de UAC: La evasión de UAC es un método que los atacantes usan para eludir el Control de Cuentas de Usuario de Windows, permitiendo que el malware obtenga privilegios elevados sin el conocimiento o consentimiento del usuario.
  • Mecanismo de persistencia: Un mecanismo de persistencia es un método utilizado por el malware para mantenerse activo en un sistema, sobreviviendo a reinicios e intentos de eliminación por parte de usuarios o herramientas de seguridad.
PNG Malware Fileless Attacks Cybersecurity Threats
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news