Netcrook Logo
👤 TRUSTBREAKER
🗓️ 10 Apr 2026  

Juegos de Memoria: Cómo DesckVB RAT Está Ganando la Carrera Armamentista del Malware en 2026

Una nueva generación de malware sin archivos está pasando desapercibida al combinar scripts ofuscados, ejecución sigilosa en memoria y comando y control cifrados.

En una tranquila mañana de lunes de 2026, un analista de seguridad en una gran corporación detecta una anomalía: un archivo JavaScript de apariencia inocente en la carpeta pública de un usuario. Nada parece fuera de lo normal, pero en cuestión de minutos, el panel del analista se ilumina con tráfico cifrado sospechoso. Lo que se esconde bajo la superficie es DesckVB RAT, un sigiloso troyano de acceso remoto que está reescribiendo las reglas del malware moderno - y la mayoría de las organizaciones ni siquiera saben que está ahí.

Dentro de la Cadena de Infección

El ataque de DesckVB RAT comienza con una auténtica clase magistral de engaño. Un archivo JavaScript - fuertemente codificado y plagado de segmentos replicados - llega al sistema de la víctima. Su verdadera misión está enterrada bajo capas de ofuscación, retrasando la detección tanto por analistas humanos como por herramientas automatizadas.

Este archivo no actúa solo. Escribe su lógica en archivos PowerShell y de texto, luego deja caer una carga útil de PowerShell en C:\Users\Public. Antes de avanzar, el script hace ping a Google para confirmar el acceso a Internet - un truco simple pero efectivo para evitar esfuerzos en máquinas sin conexión.

Una vez en línea, el script revela una URL que aloja la carga útil, pero no de manera directa. En su lugar, la dirección se oculta usando una ingeniosa mezcla de codificación Base64 e inversión de cadenas, resolviéndose solo a un enlace activo de Pastee tras la decodificación. Esta táctica de evasión esquiva herramientas básicas de análisis estático que de otro modo podrían detectar la URL.

.NET Sin Archivos: El Nuevo Disfraz del Malware

El siguiente movimiento de DesckVB RAT es lo que lo distingue: ejecución sin archivos. En lugar de dejar archivos ejecutables tradicionales, carga un ensamblado .NET, ClassLibrary3.dll, directamente en memoria usando reflexión. Esto no solo borra su rastro forense, sino que también frustra a muchas soluciones antivirus que dependen de escaneos en disco.

El cargador .NET, abusando de la utilidad legítima InstallUtil.exe, llama a un método (prFVI) para gestionar las comunicaciones cifradas con la infraestructura controlada por los atacantes. Módulos adicionales como un keylogger, detector de antivirus y herramienta espía de webcam también son inyectados - todo sin tocar el disco.

Sigilo y Persistencia

Para la inyección de procesos, DesckVB RAT aprovecha llamadas a la API de Windows como CreateProcessA para generar nuevos procesos en estado suspendido, luego inyecta su carga útil final - disfrazada como Microsoft.exe. La configuración del malware, incluidos los dominios y puertos de C2, se almacena como arreglos cifrados, decodificados solo en tiempo de ejecución para mantener a los analistas en la oscuridad.

El monitoreo de red revela que toda la comunicación con los operadores del malware ocurre sobre conexiones cifradas TLS, mezclando la actividad maliciosa con el tráfico web HTTPS cotidiano. Esto hace que sea casi imposible para los dispositivos de seguridad tradicionales distinguir la exfiltración de datos del RAT de la navegación legítima.

Conclusión: La Amenaza Invisible

DesckVB RAT es el presagio de una nueva era del malware - una donde las técnicas de vivir de la tierra, la ejecución sin archivos y la ofuscación multinivel convergen para crear amenazas casi invisibles. A medida que los atacantes se vuelven más sofisticados, los defensores deben adaptarse rápidamente, replanteando estrategias de detección que se centran únicamente en archivos y firmas. En este juego de memoria, solo los más vigilantes sobrevivirán.

WIKICROOK

DesckVB RAT fileless malware obfuscation
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news