Los expertos en seguridad han revelado detalles de una campaña activa de malware que explota una vulnerabilidad de carga anexo de DLL en un binario permitido asociado con la biblioteca c-ares de código descubierto para eludir los controles de seguridad y ofrecer una amplia escala de troyanos y ladrones básicos.
“Los atacantes logran la esparcimiento emparejando un libcares-2.dll receloso con cualquier interpretación firmada del ahost.exe permitido (que a menudo cambian de nombre) para ejecutar su código”, dijo Trellix en un referencia compartido con The Hacker News. “Esta técnica de carga anexo de DLL permite que el malware eluda las defensas de seguridad tradicionales basadas en firmas”.
Se ha observado que la campaña distribuye una amplia variedad de malware, como Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Radiofuente RAT, DCRat y XWorm.
Los objetivos de la actividad maliciosa incluyen empleados en funciones de finanzas, adquisiciones, sujeción de suministro y establecimiento interiormente de sectores comerciales e industriales como el petróleo y el gas y la importación y exportación, con señuelos escritos en árabe, castellano, portugués, farsi e inglés, lo que sugiere que los ataques están restringidos a una región específica.
El ataque depende de colocar una interpretación maliciosa de la DLL en el mismo directorio que el binario relajado, aprovechando el hecho de que es susceptible al secuestro de órdenes de búsqueda para ejecutar el contenido de la DLL maliciosa en extensión de su contraparte legítima, otorgando al actor de amenazas capacidades de ejecución de código. El ejecutable “ahost.exe” utilizado en la campaña está firmado por GitKraken y normalmente se distribuye como parte de la aplicación de escritorio de GitKraken.
Un exploración del artefacto en VirusTotal revela que se distribuye bajo docenas de nombres, incluidos, entre otros, “RFQ_NO_04958_LG2049 pdf.exe”, “PO-069709-MQ02959-Order-S103509.exe”, “23RDJANUARY OVERDUE.INV.PDF.exe”, “resolución de traspaso po-00423-025_pdf.exe” y “Fatura da DHL.exe”, indican el uso de temas de confección y solicitud de cotización (RFQ) para engañar a los usuarios para que los abran.
“Esta campaña de malware destaca la creciente amenaza de ataques de descarga de DLL que explotan utilidades firmadas y confiables como ahost.exe de GitKraken para eludir las defensas de seguridad”, dijo Trellix. “Al servirse software permitido y extralimitarse de su proceso de carga de DLL, los actores de amenazas pueden implementar sigilosamente malware potente como XWorm y DCRat, permitiendo golpe remoto persistente y robo de datos”.
La divulgación se produce cuando Trellix igualmente informó un aumento en las estafas de phishing en Facebook que emplean la técnica Browser-in-the-Browser (BitB) para fingir una pantalla de autenticación de Facebook y engañar a los usuarios desprevenidos para que ingresen sus credenciales. Esto funciona creando una ventana emergente falsa interiormente de la ventana legítima del navegador de la víctima utilizando un ambiente iframe, lo que hace prácticamente irrealizable diferenciar entre una página de inicio de sesión genuina y una falsa.
“El ataque a menudo comienza con un correo electrónico de phishing, que puede disfrazarse de comunicación de un escritorio de abogados”, dijo el investigador Mark Joseph Marti. “Este correo electrónico normalmente contiene un aviso admitido fingido sobre un video infractor e incluye un hipervínculo disfrazado de enlace de inicio de sesión de Facebook”.
Tan pronto como la víctima hace clic en la URL acortada, se le redirige a un mensaje Meta CAPTCHA fingido que indica a las víctimas que inicien sesión en su cuenta de Facebook. Esto, a su vez, activa una ventana emergente que emplea el método BitB para mostrar una pantalla de inicio de sesión falsa diseñada para compilar sus credenciales.
Otras variantes de la campaña de ingeniería social aprovechan los correos electrónicos de phishing que afirman violaciones de derechos de autor, alertas de inicio de sesión inusuales, cierres inminentes de cuentas adecuado a actividades sospechosas o posibles vulnerabilidades de seguridad. Estos mensajes están diseñados para inducir una falsa sensación de necesidad y padecer a las víctimas a páginas alojadas en Netlify o Vercel para capturar sus credenciales. Hay pruebas que sugieren que los ataques de phishing pueden favor estado en curso desde julio de 2025.
“Al crear una ventana emergente personalizada y falsa de inicio de sesión interiormente del navegador de la víctima, este método aprovecha la naturalidad del sucesor con los flujos de autenticación, haciendo que el robo de credenciales sea casi irrealizable de detectar visualmente”, dijo Trellix. “El cambio esencia radica en el injusticia de la infraestructura confiable, utilizando servicios legítimos de alojamiento en la abundancia como Netlify y Vercel, y acortadores de URL para eludir los filtros de seguridad tradicionales y dar una falsa sensación de seguridad a las páginas de phishing”.
Los hallazgos coinciden con el descubrimiento de una campaña de phishing de varias etapas que explota las cargas enseres de Python y los túneles TryCloudflare para distribuir AsyncRAT a través de enlaces de Dropbox que apuntan a archivos ZIP que contienen un archivo de golpe directo a Internet (URL). Los detalles de la campaña fueron documentados por primera vez por Forcepoint X-Labs en febrero de 2025.
“La carga útil original, un archivo Windows Script Host (WSH), fue diseñada para descargar y ejecutar scripts maliciosos adicionales alojados en un servidor WebDAV”, dijo Trend Micro. “Estos scripts facilitaron la descarga de archivos por lotes y otras cargas enseres, garantizando una rutina de infección persistente y fluida”.
Un aspecto destacado del ataque es el injusticia de técnicas de vida fuera de la tierra (LotL) que emplean Windows Script Host, PowerShell y utilidades nativas, así como la infraestructura de nivel gratis de Cloudflare para penetrar el servidor WebDAV y esquivar la detección.
Los scripts organizados en los dominios de TryCloudflare están diseñados para instalar un entorno Python, establecer persistencia a través de scripts de la carpeta de inicio de Windows e inyectar el código shell AsyncRAT en un proceso “explorer.exe”. Al mismo tiempo, se muestra a la víctima un PDF señuelo como mecanismo de distracción y la induce a pensar erróneamente que se accedió a un documento permitido.
“La campaña AsyncRAT analizada en este referencia demuestra la creciente sofisticación de los actores de amenazas a la hora de extralimitarse de servicios legítimos y herramientas de código descubierto para esquivar la detección y establecer un golpe remoto persistente”, afirmó Trend Micro. “Al utilizar scripts basados en Python y extralimitarse de la infraestructura de nivel gratis de Cloudflare para penetrar cargas enseres maliciosas, los atacantes enmascararon con éxito sus actividades bajo dominios confiables, evitando los controles de seguridad tradicionales”.
