AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Keenadu: Nueva campaña de malware secuestra búsquedas y perpetra fraude publicitario en navegadores

admin

Introducción

Durante los últimos meses, los equipos de ciberseguridad han detectado una oleada de infecciones atribuidas a Keenadu, una familia de malware cuya sofisticación y persistencia están suponiendo un reto significativo para departamentos de seguridad, analistas SOC y profesionales del pentesting. Keenadu se caracteriza por su capacidad de descargar cargas maliciosas adicionales, secuestrar las búsquedas del navegador y ejecutar fraudes publicitarios, todo ello de forma sigilosa y sin conocimiento del usuario. Este artículo desglosa en profundidad los vectores técnicos, el impacto y las mejores prácticas para mitigar este tipo de amenaza.

Contexto del Incidente o Vulnerabilidad

Desde finales de 2023, Keenadu ha escalado en la cadena de amenazas, afectando tanto a usuarios domésticos como a entornos corporativos, especialmente a través de campañas de malvertising y sitios web comprometidos. La distribución inicial se realiza principalmente mediante descargas drive-by, campañas de phishing y, en menor medida, mediante instaladores de software crackeado alojados en repositorios fraudulentos. El malware se adapta dinámicamente, empleando técnicas evasivas para eludir soluciones EDR y sandboxes.

Los informes de telemetría de fuentes como VirusTotal y servicios de inteligencia de amenazas señalan un incremento del 25% en detecciones de muestras relacionadas con Keenadu en el primer trimestre de 2024, afectando especialmente a sistemas Windows 10 y 11 con navegadores populares como Chrome, Firefox y Edge.

Detalles Técnicos

Keenadu no se limita a una única variante; se compone de múltiples módulos que pueden activarse o descargarse bajo demanda del atacante. Entre los aspectos técnicos más relevantes destacan:

– **CVE asociadas**: Aunque no explota vulnerabilidades zero-day específicas, aprovecha configuraciones inseguras de navegadores y plugins desactualizados para persistir.
– **Persistencia**: Utiliza la creación de tareas programadas, manipulación del registro (HKCUSoftwareMicrosoftWindowsCurrentVersionRun), y carga DLL maliciosas en procesos de navegador.
– **TTPs MITRE ATT&CK**:
– T1059 (Command and Scripting Interpreter)
– T1085 (Rundll32)
– T1071.001 (Web Protocols)
– T1566.001 (Spearphishing Attachment)
– T1204.002 (Malicious File)
– **Vectores de ataque**: La infección inicial se produce mediante phishing, descargas drive-by y exploits en extensiones de navegador vulnerables.
– **IoCs**: Dominios de C2 como `keenadu[.]top`, hashes MD5 de muestras recientes, y patrones de tráfico HTTP anómalos hacia infraestructuras de ad-fraud.
– **Exploits y frameworks**: Si bien no existen exploits públicos específicos en Metasploit, se han identificado scripts de PowerShell y backdoors personalizados integrados en la carga útil del malware.

El principal objetivo posinfección es secuestrar las búsquedas del navegador mediante la inyección de scripts en tiempo real, redireccionando el tráfico a motores de búsqueda fraudulentos y generando clics automatizados para maximizar ingresos por publicidad ilícita. Además, Keenadu descarga payloads adicionales para habilitar módulos de robo de credenciales, minado de criptomonedas y proxy inverso para ataques posteriores.

Impacto y Riesgos

A nivel corporativo, los riesgos asociados a Keenadu son significativos:

– **Fraude económico**: El ad fraud puede suponer pérdidas superiores a los 10.000 millones de euros anuales a nivel global, según estimaciones de 2023.
– **Filtración de datos sensibles**: La capacidad de interceptar búsquedas y tráfico web expone credenciales de acceso, datos personales y potencialmente información confidencial de la empresa.
– **Pérdida de productividad**: La degradación del rendimiento de los sistemas infectados y la aparición de tráfico anómalo pueden interrumpir operaciones críticas.
– **Cumplimiento normativo**: Un incidente de este tipo puede conllevar sanciones bajo el RGPD y obligaciones de notificación según la Directiva NIS2, especialmente si se ven comprometidos datos personales.

Medidas de Mitigación y Recomendaciones

– **Actualización continua**: Mantener navegadores, plugins y sistemas operativos actualizados para cerrar vulnerabilidades explotadas por Keenadu.
– **Segmentación de red**: Limitar el movimiento lateral con políticas de firewall y segmentación lógica de la red interna.
– **Monitorización avanzada**: Implementar sistemas EDR y SIEM que identifiquen comportamientos anómalos, como conexiones sospechosas a dominios de C2 o modificaciones en el registro.
– **Políticas de mínimos privilegios**: Restringir la instalación de software y ejecución de scripts a cuentas privilegiadas.
– **Concienciación y formación**: Refrescar las campañas de concienciación sobre phishing y conductas de navegación segura.
– **Bloqueo de IoCs conocidos**: Añadir hashes y direcciones IP asociadas a Keenadu en listas de bloqueo de proxies y firewalls.

Opinión de Expertos

Según Juan Carlos Gómez, analista de amenazas en S21sec, «Keenadu ejemplifica la tendencia hacia malware modular y orientado a monetización, que combina persistencia avanzada con técnicas anti-análisis. Los entornos corporativos deben priorizar la detección proactiva y la respuesta rápida para mitigar el impacto de estas campañas».

Implicaciones para Empresas y Usuarios

La capacidad de Keenadu para adaptarse y distribuir cargas adicionales lo convierte en un vector de entrada para amenazas más graves como ransomware o ataques dirigidos. Empresas que gestionan grandes volúmenes de tráfico web, como agencias de publicidad y plataformas de comercio electrónico, son especialmente vulnerables a este tipo de fraude. Para los usuarios, la pérdida de privacidad y la exposición a ingeniería social son riesgos claros.

Conclusiones

Keenadu representa una amenaza persistente en el panorama actual, combinando técnicas de secuestro de navegador, fraude publicitario y distribución de payloads adicionales. La defensa ante este tipo de malware exige una estrategia integral basada en la actualización tecnológica, la monitorización continua y la formación del usuario. Ignorar la evolución de amenazas como Keenadu puede traducirse en pérdidas económicas, sanciones regulatorias y daños reputacionales difíciles de revertir.

(Fuente: www.darkreading.com)