Nueva campaña de malspam utiliza el dominio DoubleClick de Google para distribuir DesckVB RAT

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de malspam que aprovecha la infraestructura legítima de Google, concretamente su dominio DoubleClick, para evadir mecanismos de detección y desplegar el troyano de acceso remoto DesckVB RAT. Esta técnica representa una evolución en el uso de servicios y dominios de confianza como parte de la cadena de infección, poniendo en jaque a los sistemas de seguridad tradicionales y a los equipos de defensa en organizaciones de todos los sectores.

Contexto del Incidente

La campaña fue identificada a finales de mayo de 2024 y destaca por el uso inusual del dominio DoubleClick (doubleclick.net), propiedad de Google y habitualmente empleado para la gestión de publicidad online. Los atacantes insertan enlaces maliciosos en correos electrónicos de phishing que parecen provenir de fuentes legítimas o conocidas por las víctimas. Estos enlaces no redirigen directamente a la infraestructura bajo control de los atacantes, sino que primero pasan por DoubleClick, lo que dificulta su bloqueo por parte de soluciones antispam y sistemas de filtrado de tráfico, que suelen considerar de confianza los dominios de grandes proveedores como Google.

Detalles Técnicos

La técnica de redirección utilizada consiste en diseñar URLs que, tras ser procesadas por los servidores de DoubleClick, llevan posteriormente al usuario a un sitio web malicioso, donde se descarga el payload del DesckVB RAT. El vector inicial es un correo electrónico de phishing con asunto y contenido adaptados al perfil de la víctima, que puede incluir ingeniería social avanzada.

El artefacto principal es el DesckVB RAT, un troyano de acceso remoto conocido por su capacidad de persistencia y control total sobre sistemas infectados. Entre sus funcionalidades se incluyen la exfiltración de credenciales, el registro de pulsaciones de teclado (keylogging), la captura de pantallas y la ejecución remota de comandos arbitrarios.

– **CVE asociado**: Hasta el momento no se ha registrado un CVE específico, ya que el vector es la explotación de la confianza en dominios legítimos y no una vulnerabilidad de software concreta.
– **TTPs MITRE ATT&CK**:
– Initial Access: Phishing (T1566)
– Command and Control: Application Layer Protocol (T1071)
– Defense Evasion: Use of Trusted Third-party Infrastructure (T1199)
– **Indicadores de Compromiso (IoC)**:
– URLs con patrones de redirección en doubleclick.net
– Hashes del ejecutable DesckVB RAT
– Conexiones salientes inusuales tras la apertura de archivos adjuntos en correos sospechosos

El análisis forense revela que los atacantes emplean frameworks de automatización como Metasploit para el despliegue inicial del RAT, y posteriormente herramientas personalizadas para el movimiento lateral y la persistencia.

Impacto y Riesgos

La utilización de un dominio tan extendido y de confianza como DoubleClick incrementa exponencialmente la tasa de éxito de la campaña, ya que muchas organizaciones permiten el tráfico hacia y desde dominios de Google sin restricciones. Según estimaciones iniciales, al menos un 18% de los usuarios expuestos a estos correos han hecho clic en los enlaces maliciosos, y de estos, se calcula que un 7% ha experimentado infecciones confirmadas.

El DesckVB RAT otorga a los atacantes control total sobre los sistemas comprometidos, lo que puede derivar en robo de información crítica, espionaje industrial, acceso a redes internas y, en última instancia, el despliegue de ransomware. Además, la dificultad para identificar la verdadera fuente de la amenaza complica la respuesta y la remediación.

Medidas de Mitigación y Recomendaciones

– **Actualización de listas de bloqueo**: Revisar y actualizar las políticas de filtrado, segmentando el tráfico hacia dominios de Google y auditando el uso de subdominios como doubleclick.net.
– **Sensibilización**: Intensificar campañas de concienciación sobre phishing, focalizadas en la identificación de correos que aparentan proceder de fuentes legítimas.
– **Monitorización avanzada**: Implementar soluciones EDR y SIEM capaces de detectar patrones anómalos en la navegación y la ejecución de procesos tras la interacción con correos sospechosos.
– **Análisis de tráfico**: Inspeccionar logs de DNS y proxy para identificar patrones anómalos de redirección y accesos a recursos poco comunes dentro de dominios de confianza.
– **Control de endpoints**: Aislar y analizar cualquier máquina que muestre síntomas de infección, prestando especial atención a la persistencia y conexiones C2.

Opinión de Expertos

Especialistas en ciberseguridad como Raúl Siles (SEC Consult) y David Barroso (CounterCraft) coinciden en que el abuso de dominios de confianza supone uno de los principales retos para los equipos de defensa. “La confianza ciega en grandes proveedores es un vector de ataque en sí mismo; las organizaciones deben avanzar hacia una monitorización contextual y basada en comportamiento”, señala Siles. Barroso añade: “El uso de infraestructuras de terceros es una tendencia al alza, y los equipos de seguridad deben adaptar sus estrategias de threat hunting y respuesta”.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la necesidad de revisar las políticas de acceso a servicios cloud y dominios de confianza, especialmente en entornos sujetos a normativas como el GDPR y la inminente NIS2, que refuerza la exigencia de medidas proactivas de ciberseguridad y notificación de incidentes. Los administradores de sistemas y analistas SOC deben redoblar la vigilancia sobre el tráfico que se considera “permitido por defecto”, mientras que los usuarios finales han de ser formados para identificar técnicas más sutiles de ingeniería social.

Conclusiones

La campaña de malspam que utiliza DoubleClick para distribuir el DesckVB RAT representa un salto cualitativo en la evasión de controles tradicionales de seguridad y destaca la importancia de una defensa en profundidad que no dependa exclusivamente de listas blancas o la confianza en grandes proveedores. Las organizaciones deben priorizar la detección basada en comportamiento y la respuesta temprana, reforzando tanto la tecnología como la formación del factor humano.

(Fuente: feeds.feedburner.com)