Los expertos en seguridad han revelado detalles de una campaña activa de malware que explota una vulnerabilidad de carga lateral de DLL en un binario legítimo asociado con la biblioteca c-ares de código abierto para eludir los controles de seguridad y ofrecer una amplia gama de troyanos y ladrones básicos.
«Los atacantes logran la evasión emparejando un libcares-2.dll malicioso con cualquier versión firmada del ahost.exe legítimo (que a menudo cambian de nombre) para ejecutar su código», dijo Trellix en un informe compartido con The Hacker News. «Esta técnica de carga lateral de DLL permite que el malware eluda las defensas de seguridad tradicionales basadas en firmas».
Se ha observado que la campaña distribuye una amplia variedad de malware, como Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat y XWorm.
Los objetivos de la actividad maliciosa incluyen empleados en funciones de finanzas, adquisiciones, cadena de suministro y administración dentro de sectores comerciales e industriales como el petróleo y el gas y la importación y exportación, con señuelos escritos en árabe, español, portugués, farsi e inglés, lo que sugiere que los ataques están restringidos a una región específica.
El ataque depende de colocar una versión maliciosa de la DLL en el mismo directorio que el binario vulnerable, aprovechando el hecho de que es susceptible al secuestro de órdenes de búsqueda para ejecutar el contenido de la DLL maliciosa en lugar de su contraparte legítima, otorgando al actor de amenazas capacidades de ejecución de código. El ejecutable «ahost.exe» utilizado en la campaña está firmado por GitKraken y normalmente se distribuye como parte de la aplicación de escritorio de GitKraken.
Un análisis del artefacto en VirusTotal revela que se distribuye bajo docenas de nombres, incluidos, entre otros, «RFQ_NO_04958_LG2049 pdf.exe», «PO-069709-MQ02959-Order-S103509.exe», «23RDJANUARY OVERDUE.INV.PDF.exe», «contrato de venta po-00423-025_pdf.exe» y «Fatura da DHL.exe», indican el uso de temas de factura y solicitud de cotización (RFQ) para engañar a los usuarios para que los abran.
«Esta campaña de malware destaca la creciente amenaza de ataques de descarga de DLL que explotan utilidades firmadas y confiables como ahost.exe de GitKraken para eludir las defensas de seguridad», dijo Trellix. «Al aprovechar software legítimo y abusar de su proceso de carga de DLL, los actores de amenazas pueden implementar sigilosamente malware potente como XWorm y DCRat, permitiendo acceso remoto persistente y robo de datos».
La divulgación se produce cuando Trellix también informó un aumento en las estafas de phishing en Facebook que emplean la técnica Browser-in-the-Browser (BitB) para simular una pantalla de autenticación de Facebook y engañar a los usuarios desprevenidos para que ingresen sus credenciales. Esto funciona creando una ventana emergente falsa dentro de la ventana legítima del navegador de la víctima utilizando un elemento iframe, lo que hace prácticamente imposible diferenciar entre una página de inicio de sesión genuina y una falsa.
«El ataque a menudo comienza con un correo electrónico de phishing, que puede disfrazarse de comunicación de un bufete de abogados», dijo el investigador Mark Joseph Marti. «Este correo electrónico normalmente contiene un aviso legal falso sobre un video infractor e incluye un hipervínculo disfrazado de enlace de inicio de sesión de Facebook».
Tan pronto como la víctima hace clic en la URL acortada, se le redirige a un mensaje Meta CAPTCHA falso que indica a las víctimas que inicien sesión en su cuenta de Facebook. Esto, a su vez, activa una ventana emergente que emplea el método BitB para mostrar una pantalla de inicio de sesión falsa diseñada para recopilar sus credenciales.
Otras variantes de la campaña de ingeniería social aprovechan los correos electrónicos de phishing que afirman violaciones de derechos de autor, alertas de inicio de sesión inusuales, cierres inminentes de cuentas debido a actividades sospechosas o posibles vulnerabilidades de seguridad. Estos mensajes están diseñados para inducir una falsa sensación de urgencia y llevar a las víctimas a páginas alojadas en Netlify o Vercel para capturar sus credenciales. Hay pruebas que sugieren que los ataques de phishing pueden haber estado en curso desde julio de 2025.
«Al crear una ventana emergente personalizada y falsa de inicio de sesión dentro del navegador de la víctima, este método aprovecha la familiaridad del usuario con los flujos de autenticación, haciendo que el robo de credenciales sea casi imposible de detectar visualmente», dijo Trellix. «El cambio clave radica en el abuso de la infraestructura confiable, utilizando servicios legítimos de alojamiento en la nube como Netlify y Vercel, y acortadores de URL para eludir los filtros de seguridad tradicionales y dar una falsa sensación de seguridad a las páginas de phishing».
Los hallazgos coinciden con el descubrimiento de una campaña de phishing de varias etapas que explota las cargas útiles de Python y los túneles TryCloudflare para distribuir AsyncRAT a través de enlaces de Dropbox que apuntan a archivos ZIP que contienen un archivo de acceso directo a Internet (URL). Los detalles de la campaña fueron documentados por primera vez por Forcepoint X-Labs en febrero de 2025.
«La carga útil inicial, un archivo Windows Script Host (WSH), fue diseñada para descargar y ejecutar scripts maliciosos adicionales alojados en un servidor WebDAV», dijo Trend Micro. «Estos scripts facilitaron la descarga de archivos por lotes y otras cargas útiles, garantizando una rutina de infección persistente y fluida».
Un aspecto destacado del ataque es el abuso de técnicas de vida fuera de la tierra (LotL) que emplean Windows Script Host, PowerShell y utilidades nativas, así como la infraestructura de nivel gratuito de Cloudflare para alojar el servidor WebDAV y evadir la detección.
Los scripts organizados en los dominios de TryCloudflare están diseñados para instalar un entorno Python, establecer persistencia a través de scripts de la carpeta de inicio de Windows e inyectar el código shell AsyncRAT en un proceso «explorer.exe». Al mismo tiempo, se muestra a la víctima un PDF señuelo como mecanismo de distracción y la induce a pensar erróneamente que se accedió a un documento legítimo.
«La campaña AsyncRAT analizada en este informe demuestra la creciente sofisticación de los actores de amenazas a la hora de abusar de servicios legítimos y herramientas de código abierto para evadir la detección y establecer un acceso remoto persistente», afirmó Trend Micro. «Al utilizar scripts basados en Python y abusar de la infraestructura de nivel gratuito de Cloudflare para alojar cargas útiles maliciosas, los atacantes enmascararon con éxito sus actividades bajo dominios confiables, evitando los controles de seguridad tradicionales».