Una campaña de malvertising muy sofisticada y oportuna está aprovechando el estrés de la fecha límite de declaración de impuestos en EE.UU. para distribuir malware capaz de cegar software de seguridad antes de desplegar ransomware. La operación, que sigue activa, representa una escalada significativa en las tácticas utilizadas por los cibercriminales, combinando ingeniería social precisa con una peligrosa técnica de evasión conocida como Bring Your Own Vulnerable Driver (BYOVD).
La cadena de ataque se inicia a través de anuncios envenenados en la Búsqueda de Google. Los ciberdelincuentes compran anuncios dirigidos a palabras clave relacionadas con software popular de preparación de impuestos, como "TurboTax" o "H&R Block". Estos anuncios maliciosos aparecen en la parte superior de los resultados de búsqueda, haciéndose pasar por enlaces de descarga legítimos de estas aplicaciones. Usuarios desprevenidos, en particular individuos y pequeños empresarios que intentan cumplir con el plazo fiscal de abril, son engañados para que hagan clic.
En lugar de un programa de impuestos, la víctima descarga un instalador malicioso. La función principal de este instalador es desplegar una herramienta legítima de acceso y gestión remota, ScreenConnect (ahora ConnectWise Control). Aunque ScreenConnect es en sí misma una herramienta reputada utilizada por profesionales de TI, sus potentes capacidades de control remoto la convierten en un bien preciado para los atacantes. La instalación se configura para ejecutarse de forma encubierta, estableciendo una puerta trasera persistente en el sistema de la víctima.
No obstante, la verdadera sofisticación de esta campaña radica en lo que sucede a continuación. Antes de entregar cualquier carga útil final, los atacantes actúan para neutralizar las defensas del sistema. Utilizando el acceso inicial proporcionado por ScreenConnect, descargan y ejecutan un archivo de controlador legítimo firmado por Huawei: eHiperview_eHiperService.sys. Este controlador es parte del software de monitorización eHiperview de Huawei. Aunque no es malicioso por diseño, contiene vulnerabilidades que permiten un acceso indebido al kernel de Windows—el núcleo del sistema operativo.
En un ataque BYOVD, el malware abusa de los altos privilegios de un controlador firmado y vulnerable para realizar acciones maliciosas a nivel del kernel. En este caso, el controlador de Huawei es weaponizado para desactivar o manipular los procesos de Endpoint Detection and Response (EDR) y antivirus que se ejecutan en el endpoint. Al operar a nivel del kernel, el ataque puede eludir los controles de seguridad estándar del espacio de usuario y manipular o terminar directamente el software de seguridad. Esto efectivamente "ciega" el endpoint, eliminando su capacidad para detectar o registrar actividad maliciosa posterior.
Con el software de seguridad incapacitado, el escenario está listo para el acto final. Aunque la carga útil de ransomware específica en esta campaña aún se está analizando, el patrón operativo es claro. Los atacantes, ahora operando con un riesgo mínimo de detección, pueden moverse lateralmente, escalar privilegios, exfiltrar datos y, en última instancia, desplegar ransomware de cifrado de archivos. La combinación de una puerta trasera sigilosa y las defensas desactivadas hace que la remediación sea excepcionalmente difícil y aumenta la probabilidad de un despliegue y pago exitoso del ransomware.
Esta campaña destaca varias tendencias críticas en el panorama de amenazas. Primero, el abuso de los anuncios de Google (malvertising) sigue siendo un vector de infección inicial muy eficaz debido a la confianza inherente que los usuarios depositan en los primeros resultados de búsqueda. Segundo, el uso de ataques BYOVD se está trasladando de grupos de amenazas persistentes avanzadas (APT) a operaciones criminales más generalizadas, bajando la barrera para la evasión sofisticada. Tercero, la sincronización temática del ataque—explotando la temporada de impuestos—demuestra una comprensión profunda de la psicología de la víctima y los períodos de máxima vulnerabilidad.
Para los profesionales de la ciberseguridad, esta campaña subraya la necesidad de defensas en capas que puedan resistir la manipulación a nivel del kernel. Las recomendaciones incluyen:
- Implementar políticas de listas de permitidos (allowlisting) de controladores para bloquear controladores del kernel no autorizados.
- Desplegar soluciones de seguridad con protecciones anti-manipulación y detección conductual capaz de identificar actividad maliciosa de controladores.
- Educar a los usuarios, especialmente durante períodos de alto riesgo como la temporada de impuestos, para que sean escépticos con los enlaces de descarga de anuncios de búsqueda y verifiquen las URL directamente.
- Monitorizar la instalación de herramientas de acceso remoto como ScreenConnect desde fuentes no estándar o inesperadas.
- Asegurar que existen procedimientos robustos de copia de seguridad y recuperación, ya que el ransomware sigue siendo el objetivo final probable.
El uso de un controlador de Huawei en este contexto es notable, pero debe verse como un caso de explotación oportunista de código vulnerable disponible, no como un reflejo del fabricante. Sirve como un recordatorio contundente de que la cadena de suministro de software, incluidos los controladores legítimos firmados, puede ser weaponizada contra los mismos sistemas que están diseñados para soportar. A medida que se acercan los plazos fiscales, esta campaña es un potente recordatorio de que las amenazas cibernéticas se adaptan cada vez más a nuestros calendarios y nuestras ansiedades.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.