Los expertos en seguridad han revelado detalles de una campaña activa de malware que está explotando un Vulnerabilidad de carga lateral de DLL en un binario legítimo asociado con el código abierto biblioteca c-ares para eludir los controles de seguridad y ofrecer una amplia gama de troyanos y ladrones básicos.
«Los atacantes logran la evasión emparejando un libcares-2.dll malicioso con cualquier versión firmada del ahost.exe legítimo (que a menudo cambian de nombre) para ejecutar su código», Trellix dicho en un informe compartido con The Hacker News. «Esta técnica de carga lateral de DLL permite que el malware eluda las defensas de seguridad tradicionales basadas en firmas».
Se ha observado que la campaña distribuye una amplia variedad de malware, como Agente Tesla, CriptaBot, Libro de formularios, Ladrón de lummas, Ladrón de Vidar, Remcos RATA, RATA cuásar, DCRatay Xgusano.
Los objetivos de la actividad maliciosa incluyen empleados en funciones de finanzas, adquisiciones, cadena de suministro y administración dentro de sectores comerciales e industriales como el petróleo y el gas y la importación y exportación, con señuelos escritos en árabe, español, portugués, farsi e inglés, lo que sugiere que los ataques están restringidos a una región específica.
El ataque depende de colocar un versión maliciosa de la DLL en el mismo directorio que el binario vulnerable, aprovechando el hecho de que es susceptible al secuestro de órdenes de búsqueda para ejecutar el contenido de la DLL maliciosa en lugar de su contraparte legítima, otorgando al actor de amenazas capacidades de ejecución de código. El ejecutable «ahost.exe» utilizado en la campaña está firmado por GitKraken y normalmente se distribuye como parte de la aplicación de escritorio de GitKraken.
Un análisis de la artefacto en VirusTotal revela que se distribuye bajo docenas de nombres, incluidos, entre otros, «RFQ_NO_04958_LG2049 pdf.exe», «PO-069709-MQ02959-Order-S103509.exe», «23RDJANUARY OVERDUE.INV.PDF.exe», «contrato de venta po-00423-025_pdf.exe» y «Fatura da DHL.exe», indican el uso de temas de factura y solicitud de cotización (RFQ) para engañar a los usuarios para que los abran.
«Esta campaña de malware destaca la creciente amenaza de ataques de descarga de DLL que explotan utilidades firmadas y confiables como ahost.exe de GitKraken para eludir las defensas de seguridad», dijo Trellix. «Al aprovechar software legítimo y abusar de su proceso de carga de DLL, los actores de amenazas pueden implementar sigilosamente malware potente como XWorm y DCRat, permitiendo acceso remoto persistente y robo de datos».
La divulgación se produce cuando Trellix también informó un aumento en las estafas de phishing en Facebook que emplean el navegador en el navegador (BitB) técnica para simular una pantalla de autenticación de Facebook y engañar a usuarios desprevenidos para que ingresen sus credenciales. Esto funciona creando una ventana emergente falsa dentro de la ventana legítima del navegador de la víctima utilizando un elemento iframe, lo que hace prácticamente imposible diferenciar entre una página de inicio de sesión genuina y una falsa.
«El ataque a menudo comienza con un correo electrónico de phishing, que puede disfrazarse de comunicación de un bufete de abogados», afirma el investigador Mark Joseph Marti. dicho. «Este correo electrónico normalmente contiene un aviso legal falso sobre un video infractor e incluye un hipervínculo disfrazado de enlace de inicio de sesión de Facebook».
Tan pronto como la víctima hace clic en la URL acortada, se le redirige a un mensaje Meta CAPTCHA falso que indica a las víctimas que inicien sesión en su cuenta de Facebook. Esto, a su vez, activa una ventana emergente que emplea el método BitB para mostrar una pantalla de inicio de sesión falsa diseñada para recopilar sus credenciales.
Otras variantes de la campaña de ingeniería social aprovechan los correos electrónicos de phishing que afirman violaciones de derechos de autor, alertas de inicio de sesión inusuales, cierres inminentes de cuentas debido a actividades sospechosas o posibles vulnerabilidades de seguridad. Estos mensajes están diseñados para inducir una falsa sensación de urgencia y llevar a las víctimas a páginas alojadas en Netlify o Vercel para capturar sus credenciales. Hay pruebas que sugieren que los ataques de phishing pueden haber sido en curso desde julio de 2025.
«Al crear una ventana emergente personalizada y falsa de inicio de sesión dentro del navegador de la víctima, este método aprovecha la familiaridad del usuario con los flujos de autenticación, haciendo que el robo de credenciales sea casi imposible de detectar visualmente», dijo Trellix. «El cambio clave radica en el abuso de la infraestructura confiable, utilizando servicios legítimos de alojamiento en la nube como Netlify y Vercel, y acortadores de URL para eludir los filtros de seguridad tradicionales y dar una falsa sensación de seguridad a las páginas de phishing».
Los hallazgos coinciden con el descubrimiento de una campaña de phishing de varias etapas que explota las cargas útiles de Python y los túneles de TryCloudflare para distribuir asíncrono a través de enlaces de Dropbox que apuntan a archivos ZIP que contienen un archivo de acceso directo a Internet (URL). Los detalles de la campaña fueron documentado por primera vez por Forcepoint X-Labs en febrero de 2025.
«La carga útil inicial, un archivo Windows Script Host (WSH), fue diseñada para descargar y ejecutar scripts maliciosos adicionales alojados en un servidor WebDAV», Trend Micro dicho. «Estos scripts facilitaron la descarga de archivos por lotes y otras cargas útiles, garantizando una rutina de infección persistente y fluida».
Un aspecto destacado del ataque es el abuso de técnicas de vida fuera de la tierra (LotL) que emplean Windows Script Host, PowerShell y utilidades nativas, así como la infraestructura de nivel gratuito de Cloudflare para alojar el servidor WebDAV y evadir la detección.
Los scripts organizados en los dominios de TryCloudflare están diseñados para instalar un entorno Python, establecer persistencia a través de scripts de la carpeta de inicio de Windows e inyectar el código shell AsyncRAT en un proceso «explorer.exe». Al mismo tiempo, se muestra a la víctima un PDF señuelo como mecanismo de distracción y la induce a pensar erróneamente que se accedió a un documento legítimo.
«La campaña AsyncRAT analizada en este informe demuestra la creciente sofisticación de los actores de amenazas a la hora de abusar de servicios legítimos y herramientas de código abierto para evadir la detección y establecer un acceso remoto persistente», afirmó Trend Micro. «Al utilizar scripts basados en Python y abusar de la infraestructura de nivel gratuito de Cloudflare para alojar cargas útiles maliciosas, los atacantes enmascararon con éxito sus actividades bajo dominios confiables, evitando los controles de seguridad tradicionales».
Fuente