Antivirus desactivado, acceso total y un dominio olvidado: cómo un simple spam publicitario se convirtió en una amenaza de alcance mundia
Código malicioso permaneció años oculto en programas, a la espera de la señal de sus nuevos dueños.
El habitual software publicitario resultó ser mucho más peligroso de lo que parecía a primera vista. Los especialistas de Huntress detectaron actividad sospechosa que al principio parecía un software "basura" corriente, pero que tras un análisis más detenido se convirtió en una historia completa sobre riesgos a nivel de la cadena de suministro.
A finales de marzo, en distintos entornos corporativos comenzaron a sonar alarmas. Ejecutables firmados por Dragon Boss Solutions LLC usaban el mecanismo de actualizaciones para iniciar en secreto un ataque de múltiples etapas. El programa no solo cargaba componentes adicionales: se ejecutaba con privilegios de SYSTEM y desactivaba antivirus de forma progresiva.
El análisis mostró que los cargadores se habían distribuido desde finales de 2024, aunque recientemente obtuvieron nueva funcionalidad. A través del mecanismo estándar de actualizaciones, el sistema entregaba paquetes MSI y scripts PowerShell, se persistía mediante WMI y bloqueaba la reinstalación de soluciones de protección. Un papel clave lo jugaba el script ClockRemoval.ps1, que terminaba procesos de antivirus, eliminaba sus archivos e incluso modificaba el archivo hosts para cortar el acceso a los servidores de actualizaciones.
El propio mecanismo de actualizaciones llamó la atención. En la configuración apareció el dominio chromsterabrowser[.]com, que en el momento de la investigación no estaba registrado. Cualquiera podía comprarlo por una suma simbólica y obtener la capacidad de enviar comandos a las máquinas infectadas. En la práctica, se trataba de una infraestructura lista para una operación a gran escala sin necesidad de intrusión.
El equipo de Huntress registró rápidamente ese dominio y redirigió el tráfico a una "caja de pruebas". Ya en las primeras horas decenas de miles de dispositivos infectados comenzaron a solicitar actualizaciones. En 24 horas se registraron más de 23 000 direcciones IP únicas de 124 países. Entre los afectados hubo universidades, organizaciones gubernamentales, instalaciones de infraestructura crítica e incluso redes de grandes empresas.
El análisis adicional reveló otros detalles peligrosos. Versiones modificadas de Google Chrome se lanzaban con un parámetro que desactivaba las actualizaciones automáticas del navegador, consolidando el estado vulnerable del sistema. El propio software se ocultaba bajo aplicaciones inofensivas con nombres seudocasuales y se instalaba en los directorios típicos Program Files.
La historia ilustra claramente cómo el software publicitario "gris" puede convertirse rápidamente en una amenaza seria. En este caso, la infraestructura ya estaba preparada para distribuir cargas mucho más peligrosas — desde cifradores hasta robadores de información. La diferencia entre la publicidad molesta y un ciberataque completo resultó mínima.