Los investigadores de Huntress documentaron una campaña de malspam de phishing a gran escala, en la que los atacantes utilizan el dominio legítimo de Google DoubleClick como eslabón intermedio de la cadena de redireccionamientos. Esto permite eludir los mecanismos de protección del correo electrónico, que tienen menos probabilidad de bloquear el tráfico que pasa por dominios de Google. El objetivo final del ataque es la entrega de un .NET loader con funcionalidad de troyano de acceso remoto, capaz de extraer datos, ejecutar comandos y descargar módulos maliciosos adicionales. La campaña afecta a organizaciones con independencia del sector, ya que las páginas de phishing se adaptan dinámicamente a cada víctima.
Cadena de infección: del adjunto HTML al control total
Según los investigadores, el ataque comienza con un correo de phishing que contiene un adjunto HTML. Al abrirlo, el archivo inicia un redireccionamiento mediante la etiqueta meta-refresh hacia una URL del sistema de seguimiento de clics Google DoubleClick Campaign Manager. A continuación, la víctima pasa por un redireccionador adicional, que decodifica la dirección de correo de la víctima codificada en Base64 y la dirige a una landing page con el botón «Download PDF».
La característica clave de la campaña es la personalización automática de las páginas de phishing. Según se informa, el sistema recupera dinámicamente el branding corporativo y los datos de localización de la víctima, generando una página convincente sin necesidad de crear cebos individuales para cada organización. Esto hace que la operación sea escalable y rentable para los atacantes.
Al pulsar el botón de descarga se obtiene un archivo ZIP que contiene un JavaScript loader. La cadena posterior es la siguiente:
- El JavaScript loader extrae y ejecuta un script de PowerShell
- El script de PowerShell descarga un .NET loader desde un servidor externo
- El loader actúa como stager: verifica la ausencia de un entorno de análisis, desactiva mecanismos de protección y establece persistencia
- La carga útil final se ejecuta mediante la técnica de process hollowing, inyectando código en procesos firmados por Microsoft
Técnicas de evasión de detección
Según Huntress, el malware aplica un enfoque multinivel para evadir los mecanismos de seguridad de Windows:
- Patching de AMSI a nivel de API nativa, deshabilitando el escaneo antimalware de scripts y ensamblados .NET
- Patching de ETW a nivel de API nativa, «dejando ciega» la telemetría de Windows hasta que se consolida la presencia en el sistema
- Configuración de exclusiones de Microsoft Defender para evitar la detección de los componentes
- Detección de herramientas de análisis y sandboxes, seguida del cierre de la ejecución y el reinicio de la máquina
La persistencia se garantiza mediante entradas en el registro Run y RunOnce, así como ubicando el loader en la carpeta de inicio automático del usuario. Tras iniciarse, el troyano establece comunicación con el servidor de mando y control a través de raw TCP sockets, realiza labores de reconocimiento del sistema y otorga a los atacantes control completo sobre la máquina comprometida, incluida la exfiltración de datos, la ejecución de comandos y el despliegue de módulos adicionales.
Evaluación del impacto
El uso de infraestructura legítima de Google como eslabón intermedio no es una técnica nueva, pero sigue siendo eficaz. Muchas soluciones de protección de correo electrónico y filtros web aplican listas blancas para dominios de grandes compañías tecnológicas, lo que genera un punto ciego. Combinado con la personalización automática de las páginas de phishing, esto aumenta de forma significativa la probabilidad de una compromiso exitoso.
Aclaración importante: el análisis original de Huntress fue corregido tras su publicación: la atribución inicial de la carga útil final a DesckVB RAT fue revisada, y ahora se clasifica como un .NET loader. Esto reduce el nivel de confianza en la identificación precisa del malware final e indica la necesidad de realizar investigaciones adicionales.
Recomendaciones de protección
Los investigadores de Huntress proponen una serie de medidas concretas capaces de interrumpir la cadena de infección en sus fases iniciales:
- Políticas de grupo para scripts: configure GPO en Active Directory para que los archivos
.vbs,.htay.jsse abran de forma predeterminada en Notepad. Esto bloquea la ejecución del JavaScript loader, el primer eslabón activo de la cadena después de descargar el archivo comprimido - Autenticación del correo electrónico: implemente registros DMARC, DKIM y SPF para reducir la probabilidad de entrega de correos falsificados
- Sandboxing de adjuntos: utilice un gateway de correo con función de análisis de adjuntos y enlaces en un entorno aislado antes de su entrega al usuario
- Monitorización de PowerShell: supervise la ejecución de procesos de PowerShell iniciados desde procesos padre inusuales, especialmente desde intérpretes de scripts
- Control de process hollowing: configure reglas de detección para casos en los que procesos firmados por Microsoft establezcan conexiones de red TCP atípicas
La medida más eficaz en este caso es forzar la apertura de archivos de script en un editor de texto mediante políticas de grupo: es la única acción capaz de detener por completo la cadena de infección en la fase más temprana, una vez que el usuario ya ha descargado el archivo malicioso. Las organizaciones que aún no hayan aplicado esta medida deberían priorizar su despliegue, junto con la comprobación de la correcta configuración de DMARC, DKIM y SPF para sus dominios de correo.
