AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Adware firmado digitalmente compromete miles de endpoints con privilegios SYSTEM y desactiva antivirus

admin

#### Introducción

En las últimas semanas, se ha detectado una campaña de ataque sofisticada en la que una herramienta de adware, firmada digitalmente, ha logrado desplegar cargas maliciosas con privilegios SYSTEM. Este vector ha permitido a los atacantes desactivar soluciones antivirus en miles de sistemas, afectando especialmente a organizaciones de sectores críticos como educación, servicios públicos, administraciones públicas y empresas sanitarias. El incidente pone de manifiesto la creciente capacidad de los actores de amenazas para evadir controles tradicionales y comprometer infraestructuras sensibles.

#### Contexto del Incidente

El descubrimiento se produjo tras la detección de comportamientos anómalos en endpoints gestionados por varias instituciones, principalmente en Estados Unidos y Europa. El adware, distribuido bajo la apariencia de software legítimo y protegido mediante certificados digitales válidos, logró infiltrarse en redes corporativas mediante técnicas de ingeniería social y descargas maliciosas en sitios web comprometidos.

La distribución se ha realizado tanto por campañas de phishing dirigidas como por la manipulación de anuncios publicitarios (malvertising), facilitando la descarga e instalación del ejecutable malicioso en sistemas Windows. Según los informes, al menos 10.000 endpoints se han visto afectados en las primeras semanas de la campaña, incluyendo ordenadores de uso administrativo y dispositivos críticos en infraestructuras de servicios esenciales.

#### Detalles Técnicos

El adware en cuestión corresponde a una familia previamente detectada pero ahora mejorada con técnicas de evasión avanzadas. El archivo ejecutable está firmado digitalmente, lo que permite que pase sin ser detectado por muchos sistemas de control de aplicaciones (AppLocker, Windows Defender Application Control) y soluciones antimalware convencionales.

**CVE asociada:** Aunque no se ha asignado aún un número CVE específico al dropper utilizado, la explotación aprovecha la elevación de privilegios a través de servicios de Windows mal configurados y la desactivación de defensas mediante llamadas a interfaces WMI y PowerShell.

**Vectores de ataque:**
– Ingeniería social (phishing con adjuntos y enlaces maliciosos).
– Descarga en sitios web comprometidos.
– Publicidad maliciosa en portales de alto tráfico.

**TTPs (MITRE ATT&CK):**
– **T1059**: Execution mediante PowerShell.
– **T1078**: Uso de cuentas válidas (aprovecha credenciales comprometidas).
– **T1562.001**: Desactivación o manipulación de herramientas de seguridad.
– **T1543.003**: Creación y manipulación de servicios de Windows para persistencia.

**IoCs observados:**
– Ejecutables firmados digitalmente con certificados revocados tras el incidente.
– Hashes SHA256 específicos compartidos en foros de inteligencia de amenazas.
– Conexiones C2 a dominios registrados recientemente.

**Herramientas y frameworks:** Se han observado componentes elaborados con frameworks como Metasploit para la pos-explotación, así como el uso de scripts personalizados para la desactivación de antivirus y EDR (Endpoint Detection and Response).

#### Impacto y Riesgos

La campaña ha logrado desactivar antivirus y EDR en aproximadamente el 75% de los sistemas infectados, lo que deja a las organizaciones expuestas a amenazas secundarias, incluyendo ransomware y exfiltración de datos. Sectores como el educativo y sanitario presentan un riesgo especialmente alto, dada la sensibilidad de los datos procesados y la criticidad de los servicios ofrecidos.

El acceso con privilegios SYSTEM permite a los atacantes:
– Desplegar payloads adicionales (troyanos, ransomware, criptomineros).
– Modificar políticas de grupo (GPO) y configuraciones de seguridad.
– Desactivar auditorías y registros, dificultando la detección y el análisis forense.

Se estima que los costes de recuperación y mitigación asociados a la campaña superan ya los 10 millones de euros, sin contar con las posibles sanciones derivadas del incumplimiento de normativas como el GDPR o la inminente NIS2.

#### Medidas de Mitigación y Recomendaciones

– Revocar inmediatamente los certificados digitales asociados a los binarios identificados.
– Actualizar y reforzar las políticas de control de aplicaciones, incluyendo la validación adicional de firmas digitales.
– Monitorizar e investigar cualquier intento de desactivación de antivirus o EDR, especialmente mediante PowerShell o WMI.
– Implementar segmentación de red y privilegios mínimos para cuentas de usuario y servicio.
– Realizar campañas de concienciación sobre phishing y descargas seguras.
– Mantener actualizados los sistemas operativos y aplicar parches de seguridad críticos.
– Revisar logs y activar alertas sobre modificaciones en servicios y políticas de seguridad.

#### Opinión de Expertos

Analistas de ciberseguridad de firmas como Kaspersky y CrowdStrike coinciden en que el uso de software firmado digitalmente para distribuir malware es una tendencia al alza, especialmente en campañas dirigidas a sectores críticos. Según declaraciones de la consultora española S2 Grupo, “la confianza en la firma digital ya no es suficiente; las cadenas de suministro de software y los procesos de validación deben reforzarse con controles adicionales y revisión continua de reputación de los certificados”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que la confianza ciega en la firma digital es insuficiente. La sofisticación de los atacantes hace imprescindible adoptar una estrategia de defensa en profundidad, reforzando los controles en todos los niveles y reaccionando rápidamente ante cualquier anomalía en los sistemas de protección.

Los usuarios corporativos, especialmente aquellos con acceso a información sensible o sistemas críticos, deben extremar la precaución y estar formados en la detección de intentos de ingeniería social y fraudes digitales.

#### Conclusiones

Este incidente subraya la capacidad de los cibercriminales para explotar la confianza en mecanismos tradicionales como la firma digital, comprometiendo incluso infraestructuras protegidas con soluciones avanzadas. La respuesta debe ser integral, combinando tecnología, procesos y formación, así como una vigilancia constante de la cadena de suministro de software y la validez de los certificados empleados.

(Fuente: www.bleepingcomputer.com)