AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña masiva de malvertising explota Google Ads para distribuir malware a través de instaladores de ScreenConnect

admin

Introducción

Una reciente campaña de malvertising de gran alcance, activa desde enero de 2026, ha sido detectada dirigiéndose principalmente a usuarios estadounidenses que buscan documentos fiscales en la web. Los atacantes utilizan la publicidad de Google para distribuir instaladores fraudulentos de ConnectWise ScreenConnect, los cuales, una vez ejecutados, despliegan una herramienta denominada HwAudKiller. Esta herramienta destaca por emplear la técnica BYOVD (Bring Your Own Vulnerable Driver) para desactivar soluciones de seguridad y establecer persistencia en los sistemas comprometidos.

Contexto del Incidente

El vector inicial de esta campaña es el malvertising, técnica mediante la cual los atacantes compran anuncios y manipulan motores de búsqueda, en este caso Google Ads, para posicionar sitios maliciosos en las primeras posiciones de resultados relacionados con formularios y servicios fiscales. El objetivo es atraer a usuarios desprevenidos que buscan descargar o acceder a documentación tributaria legítima, redirigiéndolos a instaladores troyanizados de ConnectWise ScreenConnect.

ScreenConnect, actualmente conocido como ConnectWise Control, es una herramienta ampliamente utilizada para soporte remoto. Esta popularidad ha atraído el interés de los actores de amenazas, que buscan aprovechar la confianza en la marca y la familiaridad del software para aumentar la tasa de infección.

Detalles Técnicos

La campaña detectada utiliza instaladores de ScreenConnect modificados que, además de instalar la herramienta de acceso remoto, despliegan el malware HwAudKiller. Este ejecutable utiliza la técnica BYOVD, que consiste en instalar y explotar controladores legítimos pero vulnerables en el sistema víctima —en este caso, versiones antiguas y no parcheadas de controladores hardware— para desactivar mecanismos de defensa como antivirus, EDR y otras soluciones de seguridad.

El proceso de ataque se puede desglosar de la siguiente manera:

– Vectores de ataque: SEO poisoning mediante Google Ads, descarga de instaladores manipulados.
– TTP (Tácticas, Técnicas y Procedimientos) MITRE ATT&CK:
– Initial Access (TA0001): Malvertising, drive-by compromise.
– Execution (TA0002): Instalación de ScreenConnect troyanizado.
– Defense Evasion (TA0005): BYOVD, desactivación de EDR/antivirus.
– Persistence (TA0003): Modificación de claves de registro e instalación de servicios.
– IoC (Indicadores de Compromiso): Dominios maliciosos asociados a descargas, hashes de los instaladores fraudulentos, rutas de instalación inusuales, presencia del controlador vulnerable y procesos relacionados con HwAudKiller.
– CVE: Aunque la campaña explota múltiples drivers vulnerables, se han identificado referencias a CVE-2019-16098 (vulnerabilidad en controladores de hardware ampliamente utilizados).

No se ha reportado el uso de frameworks de explotación como Metasploit o Cobalt Strike en la fase inicial, aunque se ha observado la utilización de herramientas personalizadas para la evasión y el movimiento lateral.

Impacto y Riesgos

El impacto potencial de esta campaña es significativo. El uso de BYOVD permite a los atacantes desactivar de forma efectiva la mayoría de soluciones de seguridad, lo que facilita la persistencia y la posterior explotación del sistema, incluyendo la exfiltración de datos, despliegue de ransomware o utilización del equipo comprometido como punto de acceso para ataques laterales.

Al estar orientada a usuarios que buscan documentación fiscal, existe un riesgo elevado de robo de información personal y financiera sensible, con posibles consecuencias legales y regulatorias, especialmente en el marco de la GDPR y la legislación estadounidense sobre privacidad de datos.

Se estima que al menos un 8% de los usuarios que accedieron a sitios maliciosos llegaron a ejecutar los instaladores infectados, lo que podría traducirse en miles de equipos comprometidos solo en el primer trimestre de 2026.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de campañas, se recomienda:

– Fortalecer los filtros de navegación y bloquear dominios asociados a malvertising mediante soluciones de DNS filtering o proxies seguros.
– Restringir la instalación de controladores a través de políticas de grupo (GPO) y listas de control de dispositivos (Device Guard, AppLocker en entornos Windows).
– Mantener actualizados tanto los sistemas operativos como los drivers, especialmente aquellos identificados como vulnerables (consultar bases de datos de CVEs).
– Sensibilizar a los usuarios sobre los riesgos del malvertising y la descarga de software desde fuentes no oficiales.
– Monitorizar la red y los endpoints en busca de indicadores de compromiso relacionados con HwAudKiller y actividades anómalas de desactivación de seguridad.
– Revisar el cumplimiento con normativas como NIS2 y GDPR respecto a la protección de datos y la gestión de incidentes.

Opinión de Expertos

Especialistas en respuesta ante incidentes destacan la sofisticación de las campañas malvertising actuales, subrayando la creciente tendencia de explotar la confianza depositada en soluciones legítimas como ScreenConnect. Según Javier Muñoz, analista jefe de una reconocida firma de ciberinteligencia, “la explotación de drivers vulnerables mediante BYOVD está aumentando de forma alarmante, y representa un reto importante para la industria, ya que muchas soluciones EDR tradicionales no detectan adecuadamente estas técnicas”.

Implicaciones para Empresas y Usuarios

Las organizaciones que permitan la instalación libre de software o controladores están especialmente expuestas. Las campañas dirigidas a periodos clave, como la declaración de impuestos, incrementan la probabilidad de éxito al coincidir con picos de búsqueda y descarga de documentos sensibles.

Además, la capacidad de los atacantes para desactivar soluciones de seguridad puede tener impactos severos en términos de tiempo de respuesta, costes de recuperación y posibles sanciones regulatorias, especialmente bajo la NIS2 y la GDPR, que exigen notificación inmediata de incidentes significativos.

Conclusiones

La campaña de malvertising detectada revela la evolución de los actores de amenazas hacia técnicas cada vez más sofisticadas y dirigidas. El aprovechamiento de drivers vulnerables y la explotación de la confianza en herramientas de acceso remoto legítimas obligan a las organizaciones a reforzar sus estrategias de defensa en profundidad y a priorizar la concienciación del usuario. La detección proactiva, la aplicación de políticas restrictivas y la actualización continua de los controles de seguridad son críticas para mitigar el impacto de estas amenazas en constante evolución.

(Fuente: feeds.feedburner.com)