AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Bing y GitHub utilizados para distribuir malware: Instaladores falsos de OpenClaw propagan info-stealers y proxys maliciosos

admin

#### Introducción

En las últimas semanas, se ha detectado una campaña de distribución de malware que aprovecha la confianza en repositorios de código público y la visibilidad que ofrecen los motores de búsqueda avanzados. En este caso, actores maliciosos han utilizado repositorios en GitHub para alojar instaladores fraudulentos de OpenClaw, una herramienta legítima de código abierto, y han conseguido destacada visibilidad a través del buscador Microsoft Bing potenciado con IA. Este incidente pone de manifiesto la evolución de las cadenas de infección y la creciente sofisticación en la manipulación de herramientas y plataformas ampliamente utilizadas por la comunidad técnica.

#### Contexto del Incidente

OpenClaw es una utilidad open-source utilizada por desarrolladores y profesionales de TI para tareas de automatización y gestión de sistemas. Aprovechando su popularidad, los atacantes crearon repositorios falsos en GitHub simulando ser fuentes auténticas del software. Posteriormente, estos repositorios fraudulentos fueron promocionados mediante anuncios patrocinados y resultados destacados en Bing, cuyo motor de búsqueda potenciado por inteligencia artificial ha comenzado a ser cada vez más utilizado por usuarios técnicos y empresas.

La campaña no solo replica la apariencia de los repositorios legítimos, sino que también proporciona instrucciones detalladas para una supuesta instalación manual, induciendo a los usuarios a ejecutar comandos peligrosos en sus sistemas.

#### Detalles Técnicos: Vectores de Ataque y TTP

Los instaladores maliciosos de OpenClaw detectados en GitHub incluyen scripts y binarios diseñados para desplegar familias de malware especializadas en el robo de información (infostealers) y la creación de proxys maliciosos.

– **Vectores de ataque**:
1. El usuario accede a través de Bing a un repositorio fraudulento en GitHub.
2. Descarga un archivo comprimido con scripts de instalación.
3. Siguiendo las instrucciones, ejecuta comandos de PowerShell o Bash que descargan y ejecutan payloads adicionales desde servidores controlados por los atacantes.

– **Malware identificado**:
Se han identificado variantes de malware como RedLine Stealer y LummaC2, conocidas por exfiltrar credenciales, cookies y datos bancarios, así como malware proxy tipo «Proxifier» que convierte el host infectado en un nodo de red malicioso.

– **TTP (MITRE ATT&CK)**:
– T1195 (Supply Chain Compromise)
– T1566 (Spearphishing via Service)
– T1059 (Command and Scripting Interpreter)
– T1086 (PowerShell)

– **IoC relevantes**:
– Hashes MD5/SHA256 de binarios maliciosos disponibles en feeds públicos.
– URLs de descarga secundarias utilizadas por los scripts.
– Dominios de C2 asociados con RedLine y LummaC2.

– **Exploits y frameworks utilizados**:
Si bien no se ha documentado el uso de exploits de día cero en esta campaña, se ha detectado el uso de herramientas como PowerShell Empire y cargas compatibles con Metasploit para la persistencia y exfiltración.

#### Impacto y Riesgos

Este incidente afecta principalmente a desarrolladores, analistas de sistemas y profesionales de TI que buscan herramientas legítimas de código abierto. El impacto potencial abarca:

– Robo de credenciales corporativas y personales.
– Compromiso de sistemas de desarrollo y producción.
– Inclusión de dispositivos en botnets proxy para campañas de spam, DDoS o movimientos laterales.
– Riesgo de sanciones bajo el GDPR y NIS2, dado el posible compromiso de datos personales y servicios esenciales.

Según análisis recientes, alrededor del 7% de los accesos a repositorios de código abierto provienen de empresas del sector financiero y de servicios críticos, elevando el riesgo de afectación a infraestructuras sensibles.

#### Medidas de Mitigación y Recomendaciones

Las siguientes acciones se consideran prioritarias:

1. **Verificación de fuentes**: Validar la autenticidad de los repositorios y desarrolladores antes de descargar cualquier software.
2. **Herramientas EDR y análisis sandbox**: Implementar soluciones de detección y respuesta en endpoints capaces de identificar y bloquear ejecutables sospechosos.
3. **Bloqueo de IoCs**: Actualizar las listas de bloqueo en firewalls y sistemas de detección con los IoCs publicados.
4. **Educación y concienciación del usuario**: Campañas internas para evitar la ejecución de scripts no verificados.
5. **Revisión de logs**: Monitorizar eventos de ejecución de PowerShell/Bash y conexiones salientes inusuales.

#### Opinión de Expertos

Analistas de ciberseguridad advierten que la utilización de plataformas públicas y motores de búsqueda con IA para distribuir malware es una tendencia en aumento. Según Javier Martínez, consultor CISO, “la confianza ciega en resultados patrocinados o destacados, incluso en entornos técnicos, es una debilidad que los atacantes están explotando con gran éxito”.

Por su parte, investigadores de Threat Intelligence subrayan la necesidad de que tanto Microsoft como GitHub refuercen sus mecanismos de control y validación de repositorios, así como la integración de alertas proactivas en los motores de búsqueda.

#### Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de revisar las políticas de descarga e instalación de software, especialmente en equipos corporativos y entornos críticos. La creciente sofisticación en la manipulación de entornos confiables (GitHub, Bing) por parte de los ciberdelincuentes obliga a las organizaciones a reforzar su postura de seguridad y a aplicar controles de Zero Trust para cualquier software de terceros.

El incumplimiento de normativas como el GDPR o la NIS2, por fugas de datos o interrupciones de servicios, puede acarrear sanciones de hasta el 4% de la facturación anual y graves daños reputacionales.

#### Conclusiones

La campaña de distribución de malware a través de falsos instaladores de OpenClaw demuestra la adaptación de los atacantes a los hábitos de los profesionales de TI y el aprovechamiento de plataformas legítimas para maximizar el alcance y el impacto. La validación rigurosa de las fuentes, la implantación de medidas avanzadas de detección y una cultura de ciberhigiene son esenciales para mitigar estos riesgos en un ecosistema cada vez más interconectado y expuesto a nuevas formas de ataque.

(Fuente: www.bleepingcomputer.com)