Los investigadores de ciberseguridad han detectado una nueva campaña de malspam que utiliza el dominio DoubleClick de Google como una forma de evadir la detección y, en última instancia, entregar un troyano de acceso remoto (RAT) llamado DesckVB RAT.
«Antes de que la víctima llegue a la infraestructura controlada por el atacante, el señuelo se dirige a través de DoubleClick, un dominio legítimo propiedad de Google que es menos probable que muchas herramientas de seguridad traten como sospechoso», dijeron los investigadores de Huntress Anna Pham y Adam Mooney en un informe compartido con The Hacker News.
«A partir de ahí, la víctima pasa a un kit de malspam que se personaliza sobre la marcha utilizando la dirección de correo electrónico de la víctima, incorporando dinámicamente la marca de la empresa y los detalles de la ubicación para que la página parezca convincente sin necesidad de que los operadores creen un señuelo para cada objetivo».
Lo que hace que este ataque sea digno de mención es que elimina la necesidad de tener un kit personalizado para cada organización objetivo, lo que hace que estas operaciones sean más escalables y rentables. El objetivo final de la campaña es eliminar DesckVB RAT, un troyano basado en .NET que ha estado activo desde febrero de 2026.
El ataque comienza cuando un usuario desprevenido abre un archivo HTML adjunto a un correo electrónico de phishing. El archivo activa una redirección de meta-actualización del navegador a una URL de seguimiento de clics de Google DoubleClick Campaign Manager, desde donde se dirige al usuario a otro redirector, que decodifica la dirección de correo electrónico codificada en Base64 y lleva a la víctima a una página de destino que contiene un botón «Descargar PDF».
Al hacer clic en el botón, el servidor responde con un archivo ZIP que inicia el resto de la cadena de infección. Esto se logra mediante un cargador de JavaScript, cuya principal responsabilidad es recuperar y ejecutar un .NET RAT mientras pasa desapercibido. El script extrae y ejecuta un script de PowerShell, que luego recupera un cargador .NET de un servidor externo.
El cargador actúa como un dispositivo que verifica que no está siendo analizado, neutraliza los controles de seguridad de la máquina, configura la persistencia y, finalmente, descarga y ejecuta la carga útil RAT mediante el uso de una técnica llamada proceso hueco que implica inyectar el malware en procesos firmados por Microsoft.
Una vez iniciado, el troyano se comunica con un servidor de comando y control (C2) a través de sockets TCP sin formato, realiza reconocimiento del sistema y configura exclusiones de Microsoft Defender. El troyano también parchea la interfaz de escaneo antimalware (AMSI) y el seguimiento de eventos para Windows (ETW) en el nivel API nativo desde el principio en un esfuerzo por cegar la telemetría de Windows antes de que se establezca la persistencia en el host mediante la configuración de entradas de registro Run y RunOnce, junto con la colocación de un cargador responsable de iniciar el RAT en la carpeta de inicio del usuario.
El malware viene con capacidades para extraer datos, ejecutar comandos y desplegar cargas útiles adicionales, otorgando a los atacantes control total sobre las máquinas infectadas, al mismo tiempo que toma medidas para pasar desapercibido al finalizar y reiniciar la máquina si detecta una herramienta de análisis o determina que se está ejecutando en un entorno aislado.
«Este es un fuerte recordatorio de por qué es importante la defensa en profundidad», dijo Huntress. «Configurar un objeto de política de grupo (GPO) en Active Directory para forzar la apertura predeterminada de archivos de script como .vbs, .hta y .js en el Bloc de notas puede detener a un actor de amenazas en la primera etapa, evitando que se eliminen cargas adicionales».
«En el frente de la seguridad del correo electrónico, las organizaciones deberían considerar implementar registros DMARC, DKIM y SPF para reducir la probabilidad de que correos electrónicos falsificados o maliciosos lleguen a los usuarios finales. Más allá de eso, una solución de puerta de enlace de correo electrónico capaz de proteger archivos adjuntos y enlaces antes de la entrega agrega otra capa significativa de protección».