Investigadores en ciberseguridad han revelado una campaña maliciosa a gran escala que utiliza técnicas de envenenamiento de resultados SEO (Search Engine Optimization) para distribuir malware loaders camuflados como herramientas tecnológicas populares. El objetivo principal: usuarios de pequeñas y medianas empresas (SMBs) que buscan descargar programas conocidos como PuTTY, WinSCP o herramientas basadas en inteligencia artificial.
Malware disfrazado de software útil
La campaña, documentada por Arctic Wolf, utiliza sitios web falsos que ofrecen versiones troyanizadas de herramientas legítimas. Al ejecutarlas, instalan un loader malicioso identificado como Oyster, también conocido como Broomstick o CleanUpLoader. Este malware establece persistencia mediante la creación de tareas programadas que ejecutan un DLL malicioso (twain_96.dll) cada tres minutos, aprovechando rundll32.exe y DllRegisterServer.
Entre los sitios utilizados se encuentran dominios falsificados como:
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
Objetivo: usuarios que buscan herramientas de IA
Más allá de los instaladores clásicos, se han detectado campañas SEO que apuntan específicamente a búsquedas relacionadas con inteligencia artificial. Estas redirigen al usuario a sitios que descargan stealers como Vidar, Lumma y Legion Loader.
Los archivos entregados son ZIP protegidos con contraseña (proporcionada en la página final) y contienen instaladores NSIS de gran tamaño (800 MB), diseñados para parecer legítimos y evadir sistemas de detección que filtran por tamaño de archivo.
Automatización y diversidad en los métodos de entrega
- Vidar/Lumma Stealer: se ejecutan mediante un script de AutoIt contenido en el instalador.
- Legion Loader: utiliza un archivo MSI que activa un script batch para desplegar la amenaza.
- RedLine Stealer: propagado mediante páginas falsas que emulan comprobaciones CAPTCHA de Cloudflare, utilizando una táctica conocida como ClickFix a través del Hijack Loader.
Además, existen campañas que utilizan técnicas de injection de parámetros en los resultados de búsqueda para mostrar números telefónicos falsos como si fueran parte del centro de ayuda de marcas reconocidas (Apple, Microsoft, Netflix, etc.).
Impacto en las pymes: más de 8,500 usuarios afectados
Según datos de Kaspersky, entre enero y abril de 2025 se han detectado más de 8,500 usuarios de pequeñas y medianas empresas afectados por estas campañas. Las aplicaciones más suplantadas incluyen:
- Zoom (41% de archivos maliciosos únicos detectados)
- Outlook y PowerPoint (16% cada uno)
- Excel (12%), Word (9%)
- Teams (5%)
- ChatGPT y otras herramientas de IA, cuya suplantación creció un 115% solo en el primer cuatrimestre del año.
Los atacantes se apoyan en la popularidad de marcas confiables para explotar la confianza del usuario. Este abuso de la reputación de empresas conocidas es uno de los pilares del éxito de estas campañas.
Estrategias avanzadas: publicidad falsa y calendarios maliciosos
Los atacantes también han utilizado:
- Google Ads y Facebook Ads para mostrar anuncios falsos de productos populares, incluyendo actualizaciones falsas de aplicaciones como Pi Network, que ocultan stealers de criptomonedas y registradores de teclado.
- Google Calendar como mecanismo de dead drop para que el loader malicioso llamado PayDay Loader obtenga la dirección del servidor C2.
- Malicious npm packages como os-info-checker-es6 vinculados a direcciones de correo utilizadas en campañas anteriores.
Este enfoque modular permite a los atacantes ejecutar múltiples campañas de fraude paralelas, segmentadas por tecnología, región y tipo de víctima, maximizando su alcance y retorno económico.
Red de falsos marketplaces: fraude masivo en redes sociales
Una investigación de Silent Push reveló una red conocida como GhostVendors, compuesta por más de 4,000 sitios fraudulentos que utilizan anuncios en Facebook Marketplace para vender productos inexistentes. Los anuncios duran pocos días antes de ser eliminados, evitando así su rastreo en bibliotecas de publicidad.
Otra red dirigida a usuarios en inglés y español simula tiendas en línea para robar información de tarjetas de crédito. Algunos sitios incluso incorporan widgets falsos de Google Pay para aumentar la credibilidad de las estafas.
Conclusión: proteger la reputación comienza por proteger a los usuarios
Estas campañas de SEO malicioso y suplantación publicitaria demuestran cómo los ciberdelincuentes han perfeccionado sus técnicas para aprovechar tanto la tecnología como el comportamiento del usuario. Para las organizaciones, especialmente las pymes, el riesgo no es solo técnico, sino reputacional y financiero.
Recomendaciones clave
- Evitar la descarga de software desde motores de búsqueda; usar siempre sitios oficiales.
- Implementar soluciones de navegación segura y filtrado DNS.
- Capacitar al personal sobre campañas de ingeniería social modernas.
- Supervisar eventos de red sospechosos y ejecutar análisis de endpoint de forma regular.
En una era donde la inteligencia artificial y las marcas confiables se convierten en vectores de ataque, la ciberseguridad debe combinar tecnología, vigilancia y conciencia continua.
