Se ha identificado una sofisticada campaña de propagación de malware dirigida a sistemas Windows, la cual distribuye un nuevo troyano robador de información (InfoStealer) bautizado como NWHStealer. A diferencia de las campañas tradicionales basadas en correos de phishing, los actores de amenazas están posicionando estratégicamente cargas maliciosas dentro de software altamente buscado por los usuarios. Utilizando sitios web falsificados de Proton VPN, herramientas de diagnóstico de hardware (como OhmGraphite o Sidebar Diagnostics) y mods de videojuegos, la campaña logra evadir la detección inicial al engañar a las víctimas para que descarguen e instalen los binarios comprometidos por voluntad propia.
Anatomía del Ataque
La campaña destaca por su amplia superficie de distribución (abusando de repositorios como GitHub, GitLab, MediaFire, SourceForge y enlaces en videos de YouTube) y por un mecanismo de infección técnico fuertemente ofuscado:
- Señuelos y DLL Hijacking: En uno de los vectores principales (los sitios falsos de Proton VPN), los atacantes entregan un archivo ZIP malicioso. Este archivo contiene un ejecutable que aparenta ser una utilidad legítima de WinRAR, pero que en realidad ejecuta un ataque de secuestro de biblioteca de vínculos dinámicos (DLL Hijacking). Este binario carga un archivo WindowsCodecs.dll malicioso que a su vez descifra una carga útil secundaria (runpeNew.dll).
- Inyección de Procesos (Process Hollowing): La segunda DLL utiliza técnicas de inyección a bajo nivel (vaciado de procesos) para insertar el código final de NWHStealer dentro de procesos legítimos de Windows, como RegAsm.exe (la herramienta de registro de ensamblajes de Microsoft), ocultando así su ejecución al monitoreo del sistema.
- Evasión de Defensas y Persistencia: Una vez activo, el malware utiliza scripts de PowerShell para crear directorios ocultos en LOCALAPPDATA y los añade silenciosamente a las exclusiones de Windows Defender, forzando una actualización de las Políticas de Grupo (GPO) para asegurar los cambios en el sistema operativo. También emplea una técnica conocida de evasión de Control de Cuentas de Usuario (UAC) mediante cmstp.exe para escalar privilegios sin disparar ventanas de alerta a la víctima.
- Comunicaciones C2 Resilientes: Los datos recolectados se cifran con el algoritmo AES-CBC antes de la exfiltración. Como mecanismo de contingencia avanzado, si el servidor de Comando y Control (C2) principal es bloqueado o dado de baja, el malware utiliza un canal secundario de tipo dead drop basado en la plataforma Telegram para obtener una nueva dirección operativa y mantener el flujo de datos.
Impacto
El objetivo central de NWHStealer es el compromiso de la identidad digital y el robo financiero silencioso:
- Robo Masivo de Credenciales: El malware ataca a los principales navegadores del mercado (Chrome, Edge, Brave, Firefox, Chromium, Opera) para extraer contraseñas guardadas, historiales y cookies de sesión activa.
- Saqueo de Criptoactivos: El código está diseñado específicamente para buscar, enumerar y exfiltrar datos de más de 25 carpetas y claves de registro de Windows asociadas con billeteras de criptomonedas, facilitando el vaciado de fondos de la víctima.
Recomendaciones y Mitigación
Para los equipos de TI y usuarios finales, se recomiendan las siguientes posturas de defensa estructural:
- Bloqueo de Ejecuciones Anómalas: Los equipos SOC deben perfilar y monitorear el comportamiento de las herramientas nativas del sistema operativo (Living off the Land). Es vital alertar sobre el uso anómalo de la herramienta cmstp.exe (frecuentemente abusada para bypass de UAC) o el proceso RegAsm.exe realizando conexiones de red salientes inusuales.
- Auditoría de Exclusiones de Antivirus: Configurar las plataformas EDR/XDR para bloquear e investigar inmediatamente cualquier proceso o script que intente modificar de forma programática las listas de exclusión de Windows Defender o alterar subrepticiamente las Políticas de Grupo locales.
- Descargas Restringidas y Concienciación: Reforzar las políticas corporativas que prohíben la descarga de software de productividad (como clientes VPN o utilidades del sistema) desde foros, plataformas de hosting de archivos genéricos o enlaces de YouTube. El software debe provenir invariablemente de portales de proveedores oficiales con firmas digitales íntegras y verificadas.
