Peligro en la ventana "Ejecutar": un solo clic puede hacerte perder todos tus datos

Los especialistas de eSentire informaron del descubrimiento de una nueva botnet llamada NightshadeC2, que emplea métodos no convencionales para evadir las protecciones y los entornos aislados. El malware se distribuye a través de versiones falsas de programas legítimos —como CCleaner, ExpressVPN, Advanced IP Scanner y Everything— y también mediante un esquema ClickFix, en el que a la víctima se le pide que introduzca un comando en la ventana "Ejecutar" tras superar un CAPTCHA falso.

La característica principal de NightshadeC2 es una técnica que los especialistas denominan «bombardeo de avisos UAC». El cargador ejecuta un script de PowerShell que intenta añadir el malware a la lista de exclusiones de Windows Defender. Si el usuario se niega a confirmar la acción mediante el aviso del UAC, la ventana aparece una y otra vez, impidiendo el uso del equipo hasta que el usuario acepta. Este método también dificulta eficazmente la ejecución del malware en entornos de análisis: si el servicio Defender está desactivado, el script queda bloqueado en un bucle y la carga útil no se ejecuta. Esto permite evadir entornos de análisis como Any.Run, CAPEv2 y Joe Sandbox.

La carga principal de NightshadeC2 está escrita en C, aunque se han detectado variantes simplificadas en Python, aparentemente generadas con ayuda de IA. La versión en C usa los puertos 7777, 33336, 33337 y 443, mientras que la versión en Python emplea el puerto 80. El archivo infectado, disfrazado como updater.exe, recoge información del sistema y la IP externa tras iniciarse, usa cifrado RC4 para comunicarse con el servidor de comando y control y establece persistencia en el sistema mediante las claves de registro Winlogon, RunOnce y Active Setup.

NightshadeC2 incorpora un amplio conjunto de funciones que permiten a los atacantes controlar por completo el sistema comprometido. El malware proporciona acceso remoto mediante una shell inversa, iniciando sesiones ocultas de PowerShell o de la línea de comandos, puede descargar y ejecutar archivos adicionales en formato DLL o EXE y, si es necesario, eliminarse del dispositivo.

NightshadeC2 admite control remoto completo, incluida la captura de pantallas y la emulación de acciones del usuario, y puede ejecutar navegadores ocultos —Chrome, Edge, Firefox y Brave— en un escritorio separado. Además, NightshadeC2 registra pulsaciones de teclas y cambios en el portapapeles, y es capaz de extraer contraseñas y cookies de navegadores instalados que funcionen con los motores Chromium y Gecko.

Los datos del usuario se almacenan en archivos ocultos cuyo nombre depende del nivel de privilegios (por ejemplo, JohniiDepp y LuchiiSvet). El keylogger usa una ventana oculta y ganchos estándar de la API de Windows para capturar pulsaciones de teclas y el contenido del portapapeles. Los atacantes pueden controlar el sistema infectado: copiar y pegar texto, emular la entrada, iniciar navegadores o ventanas del sistema en un escritorio oculto. Algunas variantes de NightshadeC2 obtienen la dirección del servidor de control directamente desde un perfil de Steam, lo que permite cambiar el C2 sin actualizar el propio malware.

También se identificaron dos métodos para eludir el control de cuentas de usuario (UAC). Uno aprovecha una vulnerabilidad antigua en el servidor RPC; el otro está integrado en el cargador y se activa en sistemas anteriores a Windows 11. En este segundo caso se utiliza una combinación de reg y schtasks que ejecuta el malware con privilegios elevados sin intervención del usuario y lo añade a las exclusiones de Windows Defender.

Para protegerse, los especialistas recomiendan deshabilitar la ventana "Ejecutar" mediante GPO (sección del menú «Inicio y barra de tareas»), formar a los empleados para reconocer el phishing y la ingeniería social, y utilizar soluciones EDR o NGAV modernas capaces de detectar comportamientos inusuales de programas maliciosos.

Según los investigadores, NightshadeC2 es una herramienta versátil con capacidades de puerta trasera, espionaje y control oculto, y la técnica del bombardeo de avisos UAC es un método sencillo pero eficaz para evadir tanto la protección del usuario como el análisis automatizado.