Los expertos en seguridad han detallado una campaña activa de malware que explota una vulnerabilidad de descarga de DLL en archivos binarios legítimos relacionados con la biblioteca c-ares de código abierto para eludir los controles de seguridad y ofrecer una amplia gama de troyanos y ladrones básicos.
«El atacante logra la evasión combinando el malicioso libcares-2.dll con una versión firmada del legítimo ahost.exe (a menudo renombrado) para ejecutar código», dijo Trellix en un informe compartido con The Hacker News. «Esta técnica de descarga de DLL permite que el malware evada las defensas de seguridad tradicionales basadas en firmas».
Se ha observado que esta campaña distribuye una amplia variedad de malware, incluidos Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat y XWorm.
Los objetivos de esta actividad maliciosa incluyen empleados en puestos directivos en sectores comerciales e industriales como finanzas, adquisiciones, cadena de suministro, petróleo y gas e importación/exportación, con invitaciones escritas en árabe, español, portugués, farsi e inglés, lo que sugiere que el ataque está localizado.
El ataque se basa en colocar una versión maliciosa de la DLL en el mismo directorio que el binario vulnerable, aprovechando el hecho de que es susceptible al secuestro del orden de búsqueda para ejecutar el contenido de la DLL maliciosa en lugar de la DLL legítima, dándole al actor de la amenaza la capacidad de ejecutar código. El ejecutable «ahost.exe» utilizado en la campaña está firmado por GitKraken y normalmente se distribuye como parte de la aplicación de escritorio de GitKraken.
El análisis de artefactos en VirusTotal revela «RFQ_NO_04958_LG2049 pdf.exe», «PO-069709-MQ02959-Order-S103509.exe», «23RDJANUARY OVERDUE.INV.PDF.exe», «Sales Agreement» y otros. po-00423-025_pdf.exe” y “Fatura da DHL.exe” demuestra el uso de temas de factura y solicitud de cotización (RFQ) para engañar a los usuarios para que abran.
«Este ataque de malware resalta la creciente amenaza de ataques de descarga de DLL que explotan utilidades firmadas confiables como ahost.exe de GitKraken para eludir las defensas de seguridad», dijo Trellix. «Al aprovechar software legítimo y explotar su proceso de carga de DLL, los atacantes pueden implementar silenciosamente malware potente como XWorm y DCRat, permitiendo acceso remoto persistente y robo de datos».
La divulgación se produce después de que Trellix informara un aumento en las estafas de phishing en Facebook que utilizan la tecnología de navegador en el navegador (BitB) para simular la pantalla de autenticación de Facebook y engañar a los usuarios desprevenidos para que ingresen sus credenciales. Funciona creando una ventana emergente falsa dentro de la ventana legítima del navegador de la víctima utilizando un elemento iframe, lo que hace prácticamente imposible distinguir entre páginas de inicio de sesión genuinas y falsas.
«Los ataques a menudo comienzan con un correo electrónico de phishing disfrazado de comunicación de un bufete de abogados», dijo el investigador Mark Joseph Marti. «Los correos electrónicos suelen contener un aviso legal falso sobre el vídeo infractor e incluyen un hipervínculo que parece ser un enlace de inicio de sesión de Facebook».
Tan pronto como las víctimas hacen clic en la URL acortada, son redirigidas a un mensaje Meta CAPTCHA falso que les pide que inicien sesión en su cuenta de Facebook. Esto activa una ventana emergente que utiliza el método BitB para mostrar una pantalla de inicio de sesión falsa diseñada para recopilar credenciales.
Otras variantes de campañas de ingeniería social utilizan correos electrónicos de phishing que afirman violaciones de derechos de autor, advertencias de inicio de sesión inusuales, cierre inminente de cuentas debido a actividades sospechosas o posibles vulnerabilidades de seguridad. Estos mensajes están diseñados para crear una falsa sensación de urgencia y atraer a las víctimas a una página alojada en Netlify o Vercel para obtener sus credenciales. Hay pruebas que sugieren que el ataque de phishing puede haber estado en curso desde julio de 2025.
«Este método aprovecha la familiaridad de los usuarios con los flujos de autenticación al crear una ventana emergente de inicio de sesión falsa personalizada dentro del navegador de la víctima, lo que hace que el robo de credenciales sea casi imposible de detectar visualmente», dijo Trellix. «El cambio clave radica en la explotación de una infraestructura confiable, aprovechando servicios legítimos de alojamiento en la nube y herramientas de acortamiento de URL como Netlify y Vercel para eludir los filtros de seguridad tradicionales y dar a las páginas de phishing una falsa sensación de seguridad».
Este descubrimiento coincide con el descubrimiento de una campaña de phishing de varias etapas que aprovecha las cargas útiles de Python y los túneles TryCloudflare para distribuir AsyncRAT a través de enlaces de Dropbox que apuntan a archivos ZIP que contienen archivos de acceso directo a Internet (URL). Los detalles de la campaña fueron documentados por primera vez por Forcepoint X-Labs en febrero de 2025.
«La carga útil inicial, un archivo Windows Script Host (WSH), fue diseñada para descargar y ejecutar scripts maliciosos adicionales alojados en servidores WebDAV», dijo Trend Micro. «Estos scripts facilitaron la descarga de archivos por lotes y otras cargas útiles, garantizando una rutina de infección continua y fluida».
Los aspectos notables de este ataque son la explotación de técnicas Living-off-the-land (LotL) utilizando Windows Script Host, PowerShell, utilidades nativas y la explotación de la infraestructura de nivel gratuito de Cloudflare para alojar servidores WebDAV y evadir la detección.
El script organizado en el dominio TryCloudflare está diseñado para instalar un entorno Python, establecer persistencia a través de un script de la carpeta de inicio de Windows e inyectar código shell AsyncRAT en el proceso «explorer.exe». Paralelamente, se muestra a la víctima un PDF señuelo, haciéndole creer que se ha accedido a un documento legítimo.
«Las campañas de AsyncRAT analizadas en este informe demuestran la creciente sofisticación de los atacantes que explotan servicios legítimos y herramientas de código abierto para evadir la detección y establecer un acceso remoto persistente», afirmó Trend Micro. «Al aprovechar los scripts basados en Python y explotar la infraestructura de nivel gratuito de Cloudflare para alojar cargas útiles maliciosas, los atacantes pudieron eludir los controles de seguridad tradicionales y ocultar su actividad en dominios confiables».
Source link
