¿Has descargado Chrome o Telegram? Es posible que ya te estén espiando: una trampa insidiosa en el buscador

Los usuarios de habla china fueron objeto de una nueva campaña de envenenamiento SEO, en la que en los resultados de búsqueda los programas maliciosos se distribuían a través de sitios falsos de aplicaciones populares. Según el informe de Fortinet FortiGuard Labs, los atacantes lograban altas posiciones en Google mediante complementos SEO y registraban dominios casi indistinguibles de los recursos legítimos. Para las suplantaciones se usaban cambios mínimos de caracteres y descripciones verosímiles, por lo que las víctimas descargaban instaladores infectados en lugar de los programas originales.

A través de ese esquema se entregaban a los dispositivos modificaciones del troyano RAT de la familia Gh0st RAT — las variantes HiddenGh0st y Winos (ValleyRAT). A esta última se la vincula con el grupo Silver Fox (SwimSnake, Valley Thief, UTG-Q-1000, Void Arachne), que está activo desde al menos 2022.

El ataque empezaba cuando los usuarios buscaban en Google productos como DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp y WPS Office. En lugar de los recursos oficiales, llegaban a copias cuidadosamente construidas, donde la descarga se iniciaba mediante instaladores trojanizados. Un script se encargaba del proceso, que formaba una cadena de varias etapas: primero se solicitaba un archivo JSON con un enlace adicional, luego un nuevo JSON indicaba la dirección final de descarga del paquete malicioso. Dentro del instalador había un módulo DLL que realizaba comprobaciones para evadir el análisis. Extraía una segunda librería cuya tarea era sobrecargar las herramientas de análisis, obligándolas a consumir recursos y ralentizarse.

Esa misma biblioteca garantizaba la descompresión y ejecución de la carga principal. Antes de ello se verificaba la presencia del antivirus 360 Total Security. Si el antivirus estaba instalado, el malware usaba la intercepción del objeto COM TypeLib para persistirse en el sistema y ejecutar el archivo insalivation.exe. Si no había antivirus, la persistencia se conseguía mediante un acceso directo de Windows que apuntaba al mismo ejecutable.

La fase final consistía en la carga de AIDE.dll, que activaba tres componentes clave. El primero — el módulo C2, responsable de la comunicación cifrada con el servidor remoto y de descargar plugins adicionales. El segundo — Heartbeat, que recopilaba información del sistema, incluida la lista de procesos en ejecución y la comprobación de la presencia de herramientas de seguridad. El tercero — Monitor, que supervisaba la actividad del usuario, confirmaba el mantenimiento de la persistencia y enviaba señales periódicas al servidor de control.

Las funciones de control incluían la capacidad de instalar plugins, interceptar la entrada del teclado y el contenido del portapapeles, así como robar billeteras de criptomonedas asociadas con Ethereum y Tether. Algunos plugins permitían tomar capturas de pantalla, y ya se habían documentado anteriormente como parte del conjunto de herramientas de Winos.

Los especialistas señalan que los instaladores contenían simultáneamente la aplicación legítima y la parte maliciosa, por lo que los usuarios no notaban la infección. Además, las falsificaciones llegaban incluso a las posiciones superiores en los resultados de búsqueda, lo que hace que la comprobación de los nombres de dominio y de las fuentes de descarga sea una medida de seguridad crítica.