{
	"id": "8feedcbd-b93f-41e4-b28a-803573dc39de",
	"created_at": "2026-04-06T00:11:12.593624Z",
	"updated_at": "2026-04-10T03:21:35.92078Z",
	"deleted_at": null,
	"sha1_hash": "215a11a46e9109c9ec17d5ca4f41e6929bfe77a9",
	"title": "Snip3, una investigación sobre malware",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2825494,
	"plain_text": "Snip3, una investigación sobre malware\r\nBy Aarón Jornet\r\nPublished: 2021-12-23 · Archived: 2026-04-05 19:39:33 UTC\r\nSnip3 es considerado como un loader de Remote Access Tool o comúnmente conocido como RAT, el cual, es un\r\ntipo de malware muy utilizado que tiene el potencial de ganar persistencia en un sistema y mantener una\r\ncomunicación con un host atacante que tendrá acceso total a nuestro equipo y, por ende, a nuestra red para realizar\r\ncualquier tipo de actividad, desde robo de credenciales, hasta movimientos laterales o ejecuciones de malwares\r\nmás peligrosos. Hizo su aparición en el primer trimestre del año 2021, el cual, ha atacado a importantes compañías\r\nde viajes y transportes en los últimos meses.\r\nDefinido como Crypter-as-a-Service, el cual, nos indica que es un malware que estará en continua\r\nactualización y de la cual, podremos encontrar muchas versiones durante el paso de los meses. Está caracterizado\r\npor diferentes técnicas de evasión y técnicas Anti-Análisis. Contiene un gran potencial para escapar de los\r\nsistemas y ejecutar diferentes tipos de RAT, estando entre los más comunes Revenge RAT, Agent Tesla o\r\nAsyncRAT.\r\nLas características más importantes que caracterizan al Snip3 son:\r\nLa evasión de técnicas de análisis o de herramientas para analizar el malware\r\nLa conexión con dominios maliciosos utilizados como Command and Control\r\nLa ejecución de código malicioso en otros procesos con técnicas como el Process Hollowing.\r\nVector de entrada\r\nEl Snip3 es un malware cuyo origen puede ser diverso, desde la descarga hecha a través de un dominio\r\nmalicioso, phishing o ser lanzado por otro malware.\r\nEn este caso, fue introducido en disco a través del correo, en el cual, se intentaba invitar de manera fraudulenta\r\na la víctima, en los datos adjuntos, podremos encontrar un link que parece que nos llevará al documento, el cual,\r\nes un Visual Basic Script (vbs), que será el que realice las acciones iniciales.\r\nTras la apertura del supuesto pdf, nos llevará a una dirección en la cual se descargará de manera automática el\r\nfichero y se ejecutará, una vez el vbs se encuentre en el disco, el Snip3 creará otros archivos y generará\r\npersistencia para que el vector de entrada sea un éxito y poder mantenerse el mayor tiempo posible en nuestro\r\nequipo para ejecutar un RAT en el que el atacante podrá acceder al equipo.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 1 of 13\n\nSnip3\r\nEste malware está divido en varias partes, el resumen de como funcionaría es el siguiente:\r\nTras la descarga del script obtenido normalmente por phishing o por un dominio malicioso, se obtendrá\r\nun Visual Basic Script (vbs).\r\nTras esto, se ejecutará el VBS, el fichero creará un Powershell y lo iniciará.\r\nPosteriormente, este Powershell (PS | PS1) cargará los binarios e introducirá en startup ganando\r\npersistencia el siguiente vbs.\r\nTras esto, el vbs cargado, ya podrá lanzar el ps1, y se ejecutará el RAT, el cual es inyectado en un\r\nproceso, en nuestro caso lo hará en RegAsm.exe.\r\nTras la ejecución del RAT, tratará de evitar ser analizado con diferentes técnicas Anti-debug, Anti-VirtualMachine y/o Anti-Sandbox, generará otros ficheros, persistencia y realizará tareas de red intentando\r\nacceder a dominios y que el atacante acceda.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 2 of 13\n\nPrimer Stage: VBS\r\nTras la entrada de este script al equipo, será el encargado de crear el Powershell, que, ejecutará cambios de\r\nformato, pero son operaciones para posteriormente tratar la cadena DA, en la cual veremos que los caracteres\r\nutilizados se reemplazaran por binario, que contiene el fichero que posteriormente ejecutará.\r\nTras esto, vemos que generará un objeto con un CLSID que más tarde lanzará, además, creará el ps1 que veremos\r\nposteriormente y, hará el cambio a binario, para la variable DA, que hemos visto. Cabe destacar, que una de las\r\ncaracterísticas de este malware es la utilización del parámetro RemoteSigned, el cual, es usado para permitir la\r\nejecución de ficheros que no están firmados digitalmente utilizando Powershell.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 3 of 13\n\nEl CLSID {72C24DD5-D70A-438B-8A42-98424B88AFB8},pertenece al identificador de Windows Script Host\r\nShell Object, es, una forma más de ejecutar algo sin que genere mucho ruido en el sistema de detección que\r\ntengamos.\r\nSegundo stage: Powershell\r\nUna vez el malware tiene preparado el PS1, lo ejecutará, vemos que contiene los PE (Portable Ejecutable) que\r\nusará después, en un primer momento, cargará los binarios, las rutas usando RegAsm y el startup.vbs\r\nVeremos que la ruta será la de startup, por lo que ha ganado persistencia con este movimiento y siempre que\r\nencendamos el ordenador, se reiniciará la ejecución del vbs.\r\nTras esto, ejecutará un load de uno de los PE que ha definido anteriormente. El valor que lanzará después no es\r\notro que RegAsm, el cual, previamente habrá inyectado en este proceso, lo que hará es introducir bytes que\r\npertenecen al malware en un proceso legítimo, de este modo, solo veremos un proceso utilizado por .NET\r\nejecutándose.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 4 of 13\n\nCuando miremos en RegAsm.exe los módulos que tiene cargados, podemos discernir un AsyncClientKuso, que\r\nserá, el .NET que le da nombre a nuestro RAT.\r\nEl fichero que introduce en startup, es otro vbs, cuyo contenido es únicamente que ejecute el Powershell en cada\r\ninicio del sistema, de nuevo, utilizando RemoteSigned.\r\nTercer stage: RAT\r\nDependiendo de la versión, podríamos contener o inyectar un RAT diferente, en nuestro caso es AsyncRat.\r\nUna vez ya tiene los loaders cargados, ha ganado persistencia en el equipo, por lo que el RAT tendrá una\r\nejecución que podrá perdurar en el tiempo, ejecutará el fichero File.bin o AsyncClientKuso dentro de procesos\r\nlegítimos.\r\nCreación del Mutex\r\nEn primer lugar, encontraremos las comprobaciones del Mutex habituales, para evitar reinfección, si el sistema,\r\ntodavía no ha sido infectado con este RAT, lo creará.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 5 of 13\n\nAdemás, el Mutex es creado por RegAsm, lo cual es lógico sabiendo que el RAT, en esta versión, va a ser\r\nejecutado estando inyectado en este proceso, con el nombre AsyncMutex_6SI8OkPnk.\r\nTras esto, habrán varias técnicas relacionadas con el Anti-Análisis, las cuales son muy útiles, puesto que pueden\r\nevitar ser lanzado en sandbox o que ciertas funciones se analicen y así mantener una campaña por más tiempo.\r\nTécnicas Anti-VM\r\nDetección de componentes del equipo, usando como objetivo el Manufacturer.\r\nDetección basada en disco, cuyo objetivo es comparar su tamaño.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 6 of 13\n\nDetección basada en Sistema Operativo (OS), centrada en obtener la versión, comúnmente utilizada Windows\r\nXP.\r\nTécnicas Anti-Sandbox\r\nDetección mediante la librería sbieDll.dll, cuyo objetivo es detectar si ha sido cargada.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 7 of 13\n\nTécnicas Anti-Debugger\r\nDetección mediante la función CheckRemoteDebuggerPresent, cuyo objetivo es obtener el proceso principal y\r\ndetectar si es un debugger.\r\nFunción Install\r\nEn la última función, realizará diferentes procedimientos, desde matar procesos, generar más persistencia,\r\nrecordamos que la parte inicial podría ser cambiada ya que este es un malware independiente al Snip3 y podrían\r\nutilizar otro RAT o malware.\r\nPodemos ver como principalmente realizará un GetProcess para obtener procesos no deseados que puedan\r\nentorpecer el malware, esta práctica es habitual y se realiza con una búsqueda en orden de cada uno de los\r\nprocesos en ejecución y mediante un bucle realizar un Kill a aquellos procesos que se quiera evitar.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 8 of 13\n\nPosteriormente, veremos que realizará la comprobación de permisos y si el usuario que está ejecutando el RAT es\r\nAdministrador creará persistencia en el equipo de una manera, sino lo realizará de otra. Comprobará si contiene un\r\nSID cuyo valor contenga en el 544 que representa al Administrador.\r\nEn el caso distinto al nuestro y el usuario no sea Administrador, podremos ver como procederá a obtener una\r\nRegKey, que, como podemos ver, se encuentra al revés, realizará un reverse de la cadena para devolverla a su\r\nformato original.\r\nRealiza la persistencia a través de la ejecución del siguiente comando, en el cual está realizando la creación de la\r\ntarea de forma forzosa (/f) para que su lanzamiento siempre sea en inicio del sistema (/sc onlogon) con el nivel de\r\nprioridad alta (/rl highest), además no permitirá que haya en su ejecución ninguna aparición de ventanas\r\n(ProcessWindowStyle.Hidden).\r\ncmd /c schtasks /create /f /sc onlogon /rl highest /tn \"\"Roaming\"\" /tr '\"\"C:\\Users\\\u003cuser\u003e\\AppData\\Roaming\"\"' \u0026\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 9 of 13\n\nTras otras comprobaciones, llegamos a la creación de un .bat en el cual podemos ver que es un script que\r\ncontendrá la ejecución de la tarea programada anteriormente que después borrará realizando un movimiento a la\r\ncarpeta y realizando un delete.\r\nTras esto realiza comprobaciones y modificaciones en el hilo de ejecución para evitar que el dispositivo/monitor\r\ncaiga en suspensión o se apague.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 10 of 13\n\nPosteriormente, realiza un bucle en el cual obtenemos las funciones de red que utilizará para comprobar si está\r\nconectado al host y una reconexión si no lo está.\r\nVemos que intenta conectar a un dominio (e29rava[.]ddns[.]net), no será extraño ver diferentes dominios sobre los\r\nque intentar la conexión, ya que es habitual que estos sean denunciados de manera temprana y necesiten\r\nalternativas durante la ejecución.\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 11 of 13\n\nPor último, el atacante recibirá una petición al servidor y podrá acceder remotamente a nuestro equipo y\r\ncontrolarlo con total libertad, por lo que nuestro ordenador y red quedarán expuestos.\r\nMITRE\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 12 of 13\n\nSource: https://telefonicatech.com/blog/snip3-investigacion-malware\r\nhttps://telefonicatech.com/blog/snip3-investigacion-malware\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"MITRE"
	],
	"references": [
		"https://telefonicatech.com/blog/snip3-investigacion-malware"
	],
	"report_names": [
		"snip3-investigacion-malware"
	],
	"threat_actors": [],
	"ts_created_at": 1775434272,
	"ts_updated_at": 1775791295,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/215a11a46e9109c9ec17d5ca4f41e6929bfe77a9.pdf",
		"text": "https://archive.orkl.eu/215a11a46e9109c9ec17d5ca4f41e6929bfe77a9.txt",
		"img": "https://archive.orkl.eu/215a11a46e9109c9ec17d5ca4f41e6929bfe77a9.jpg"
	}
}