¿Microsoft se pasó al lado oscuro? ¿Por qué Bing recomienda malware en lugar de programas útiles?
Descargar archivos sin verificarlos ya resulta demasiado arriesgado
Los nuevos instrumentos basados en inteligencia artificial son cada vez más utilizados por ciberdelincuentes. Un ejemplo reciente está relacionado con el proyecto OpenClaw: los atacantes distribuyeron archivos de instalación maliciosos, y el motor de búsqueda Bing con funciones de IA ayudó a situar los enlaces maliciosos entre los primeros resultados de búsqueda.
El equipo de la empresa Huntress descubrió el problema después de un incidente con un usuario que buscó «OpenClaw Windows» a través de Bing. El sistema sugirió un enlace a un repositorio recientemente creado en GitHub. En la página había un instalador disfrazado de oficial. Tras ejecutarlo, en el equipo se descargaron programas para el robo de datos y el proxy malicioso GhostSocks.
El repositorio existió en GitHub del 2 al 10 de febrero y pertenecía a la organización openclaw-installer. La plataforma GitHub inspira confianza en muchos desarrolladores y usuarios, y el propio OpenClaw tiene decenas de miles de bifurcaciones. Ese contexto ayudó a los atacantes a que el código falso resultara verosímil. La búsqueda en Bing añadió credibilidad: el repositorio malicioso apareció entre las primeras recomendaciones.
El análisis mostró que la mayor parte del código del proyecto parecía legítima. Los archivos se copiaron del proyecto moltworker de Cloudflare. Los componentes maliciosos se ocultaron en la sección de lanzamientos. El archivo 7-Zip contenía el ejecutable OpenClaw_x64.exe. Tras su ejecución, el archivo instalaba varios cargadores escritos en Rust que cargaban programas maliciosos directamente en la memoria del sistema.
Uno de los componentes fue cloudvideo.exe —una variante del ladrón Vidar. El programa recopilaba datos de usuarios de Telegram y Steam y obtenía las direcciones de los servidores de control. Otro archivo, serverdrive.exe, resultó ser una modificación de GhostSocks. Este tipo de malware convierte los ordenadores infectados en nodos proxy. Los ciberdelincuentes usan máquinas así para ocultar ataques y eludir sistemas antifraude al acceder a cuentas comprometidas.
Los autores del análisis también detectaron indicios de un empaquetador hasta ahora no descrito, al que han dado el nombre de «stealth packer». Los mensajes de depuración en la muestra apuntan a funciones para ejecutar código malicioso en memoria, añadir reglas de cortafuegos, crear tareas ocultas del programador y comprobar el entorno virtual antes de ejecutar la carga útil.
Tras la notificación de Huntress, la administración de GitHub eliminó la cuenta y el repositorio. Sin embargo, los especialistas encontraron nuevas páginas con nombres similares creadas para distribuir archivos maliciosos. Uno de los clones apareció al día siguiente de la eliminación del repositorio original.
Según las observaciones del equipo, en torno a OpenClaw ya han surgido numerosas estafas. Riesgos adicionales generan además el propio ecosistema del proyecto, donde hay extensiones y herramientas inseguras que pueden revelar datos confidenciales. La popularidad de la plataforma la convierte en un objetivo conveniente para la difusión de programas que roban credenciales.