Los investigadores de Huntress registraron una campaña de envíos masivos de phishing, en la que los atacantes utilizan el dominio legítimo Google DoubleClick Campaign Manager como eslabón intermedio de la cadena de infección. El objetivo final es la entrega del troyano de acceso remoto DesckVB RAT, escrito sobre la plataforma .NET. La característica clave de la campaña es la personalización automática de las páginas de phishing para cada víctima sin necesidad de crear conjuntos separados para cada organización objetivo, lo que hace que el ataque sea escalable y rentable. A las organizaciones que utilizan infraestructura Windows se les recomienda comprobar las directivas de ejecución de scripts y la configuración de seguridad del correo electrónico.
Cadena de infección: del adjunto HTML al control total
Según los investigadores, el ataque comienza con un correo de phishing que contiene un adjunto HTML. Al abrirlo, el archivo realiza una redirección mediante una etiqueta meta-refresh a una URL del sistema de seguimiento de clics Google DoubleClick Campaign Manager. Dado que el dominio doubleclick.net pertenece a Google, muchas soluciones de protección de correo electrónico y filtros web tienen menos probabilidades de bloquear dicha redirección.
A continuación, la víctima pasa por un redireccionador adicional, que decodifica la dirección de correo electrónico desde formato Base64 y dirige al usuario a una página de destino con un botón «Download PDF». Según se indica, el kit de phishing extrae dinámicamente la imagen corporativa y los datos de ubicación de la víctima, creando una imitación convincente de un recurso legítimo sin configuración manual para cada organización.
Al hacer clic en el botón de descarga se inicia la descarga de un archivo ZIP, que pone en marcha una cadena de infección de varios pasos:
- Cargador JavaScript: extrae y ejecuta un script PowerShell
- Script PowerShell: descarga un cargador .NET desde un servidor externo
- Cargador .NET (stager): realiza comprobaciones de presencia de entornos de análisis, desactiva mecanismos de protección, establece mecanismos de persistencia
- DesckVB RAT: carga útil final, inyectada en un proceso legítimo mediante la técnica de process hollowing
Es significativo que, para inyectar el código malicioso, se utilicen procesos firmados con certificados de Microsoft, lo que dificulta considerablemente su detección a nivel de análisis de comportamiento.
Técnicas de evasión y persistencia
Según Huntress, DesckVB RAT aplica un conjunto agresivo de técnicas para dejar a ciegas a los sistemas de monitorización incluso antes de establecer presencia persistente en el sistema:
- Parcheo de AMSI (Antimalware Scan Interface) a nivel de API nativas: bloquea la capacidad de las soluciones antivirus para escanear scripts y código descargado en memoria
- Parcheo de ETW (Event Tracing for Windows): suprime la telemetría de Windows, dejando a las soluciones EDR sin flujo de eventos
- Configuración de exclusiones en Microsoft Defender: añade rutas y procesos a la lista de exclusiones del antivirus
- Detección de entornos de análisis: al identificar herramientas de análisis o una sandbox, el malware finaliza procesos y reinicia la máquina
Para mantenerse en el sistema, el troyano, según se informa, utiliza varios mecanismos a la vez: entradas en las secciones del registro Run y RunOnce, así como la colocación del cargador en la carpeta de inicio automático del usuario.
Capacidades del troyano
Tras iniciarse, DesckVB RAT establece una conexión con el servidor de mando y control mediante sockets TCP sin procesar, realiza reconocimiento del sistema y, según los investigadores, proporciona a los operadores las siguientes capacidades:
- Extracción de datos del sistema comprometido
- Ejecución de comandos arbitrarios
- Entrega y despliegue de cargas útiles adicionales
Evaluación del impacto
El uso de la infraestructura legítima de Google como eslabón intermedio no es una técnica nueva, pero sí efectiva, que reduce la tasa de detección a nivel de pasarelas de correo y proxys web. Combinada con la personalización automática de las páginas de phishing, esto crea una amenaza para organizaciones de cualquier tamaño: los atacantes no necesitan realizar reconocimiento previo para crear señuelos convincentes adaptados a una empresa concreta.
Las organizaciones más expuestas al riesgo son aquellas en las que no se han configurado directivas de ejecución de scripts, no existe una sandbox para el análisis de adjuntos de correo electrónico y no se han desplegado mecanismos de autenticación de mensajes de correo.
Recomendaciones de protección
Para contrarrestar esta y campañas similares se recomienda aplicar las siguientes medidas:
- Directivas de ejecución de scripts: mediante directivas de grupo de Active Directory (GPO), configurar la apertura de archivos con extensión .vbs, .hta y .js en un editor de texto (Notepad) de forma predeterminada; esto bloquea la primera fase de la cadena de infección
- Autenticación del correo electrónico: desplegar registros DMARC, DKIM y SPF para reducir la probabilidad de entrega de correos falsificados a los usuarios finales
- Sandbox para adjuntos: utilizar una pasarela de correo con capacidad de analizar adjuntos y enlaces en un entorno aislado antes de la entrega del mensaje al destinatario
- Monitorización del registro: supervisar cambios en las claves Run, RunOnce y en el contenido de la carpeta de inicio automático
- Control de la integridad de AMSI y ETW: utilizar soluciones EDR capaces de detectar intentos de parcheo de las funciones AMSI y ETW a nivel de API nativas
Esta campaña demuestra de forma clara por qué la defensa en capas sigue siendo un principio críticamente importante: ningún nivel de control por sí solo puede garantizar el bloqueo de toda la cadena de ataque. La acción prioritaria para los administradores de infraestructura Windows debe ser la configuración de las GPO para bloquear la ejecución automática de archivos de script: esta única medida puede interrumpir la cadena de infección en la fase más temprana, antes de que se descargue cualquier componente adicional.
