Los investigadores de ciberseguridad han detectado una nueva campaña de malspam que aprovecha el dominio DoubleClick de Google como medio para evadir la detección y, en última instancia, entregar un troyano de acceso remoto (RAT) llamado DesckVB RAT.
«Antes de que la víctima llegue a la infraestructura controlada por el atacante, este señuelo pasa a través de DoubleClick, un dominio legítimo propiedad de Google que muchas herramientas de seguridad probablemente no consideren sospechoso», dijeron los investigadores de Huntress, Anna Pham y Adam Mooney, en un informe compartido con The Hacker News.
«A partir de ahí, la víctima pasa a un kit de malspam que utiliza la dirección de correo electrónico de la víctima para personalizarse sobre la marcha e incorpora dinámicamente la marca de la empresa y detalles de ubicación para hacer la página más convincente, de modo que los operadores no tengan que crear señuelos para cada objetivo».
Lo que hace que este ataque sea notable es que elimina la necesidad de kits personalizados para cada organización objetivo, lo que hace que estas operaciones sean más escalables y rentables. El objetivo final de esta campaña es eliminar DesckVB RAT, un troyano basado en .NET que ha estado activo desde febrero de 2026.
El ataque comienza cuando un usuario desprevenido abre un archivo HTML adjunto a un correo electrónico de phishing. Este archivo activa una redirección del navegador de metaactualización a la URL de seguimiento de clics de Google DoubleClick Campaign Manager, desde la cual se dirige al usuario a otro redirector que decodifica la dirección de correo electrónico codificada en Base64 y dirige a la víctima a una página de destino que contiene un botón «Descargar PDF».
Una vez que se hace clic en el botón, el servidor responde con un archivo ZIP y comienza el resto de la cadena de infección. Esto se logra mediante un cargador de JavaScript. Su función principal es adquirir y ejecutar .NET RAT mientras pasa desapercibido. Este script extrae y ejecuta un script de PowerShell para recuperar el cargador .NET de un servidor externo.
El cargador actúa como un preparador para garantizar que no se analice, deshabilita los controles de seguridad en la máquina, establece la persistencia y, en última instancia, descarga y ejecuta la carga útil RAT utilizando una técnica llamada proceso haloing, que inyecta malware en procesos firmados por Microsoft.
Una vez iniciado, el troyano se comunica con un servidor de comando y control (C2) a través de sockets TCP sin formato, realiza reconocimiento del sistema y configura exclusiones de Microsoft Defender. El troyano también coloca un cargador responsable de iniciar RAT en la carpeta de inicio del usuario, así como de configurar las entradas de registro Run y RunOnce para parchear inicialmente la interfaz de escaneo antimalware (AMSI) y el seguimiento de eventos para Windows (ETW) en el nivel API nativo para cegar la telemetría de Windows antes de que se establezca la persistencia en el host.
El malware tiene la capacidad de extraer datos, ejecutar comandos e implementar cargas útiles adicionales, lo que le da al atacante control total sobre la máquina infectada, mientras pasa desapercibido al finalizar y reiniciar la máquina si se detecta una herramienta de análisis o si se determina que se está ejecutando en un entorno aislado.
«Este es un fuerte recordatorio de por qué la defensa en capas es importante», dijo Huntress. «Configurar un objeto de política de grupo (GPO) de Active Directory para forzar la apertura predeterminada de archivos de script como .vbs, .hta y .js en el Bloc de notas puede detener a los atacantes en primer lugar y evitar que se eliminen cargas útiles adicionales».
«Cuando se trata de seguridad del correo electrónico, las organizaciones deberían considerar implementar registros DMARC, DKIM y SPF para reducir la probabilidad de que correos electrónicos falsificados o maliciosos lleguen a los usuarios finales. Además, las soluciones de puerta de enlace de correo electrónico que pueden proteger los archivos adjuntos y enlaces antes de la entrega añaden una capa adicional de protección significativa».
Source link
