Los investigadores de ciberseguridad han identificado una campaña de malware que utiliza la blockchain de TON, software legítimo y componentes confiables de Windows para construir una infraestructura de mando y control resistente, capaz de evadir medidas de seguridad convencionales. Los atacantes combinan la tecnología blockchain con aplicaciones ampliamente utilizadas para complicar la detección del malware y dificultar los esfuerzos tradicionales de remoción. Esta campaña refleja una tendencia creciente en la que los ciberdelincuentes aprovechan tecnologías descentralizadas y ecosistemas de software legítimo para crear una infraestructura de malware altamente resistente, capaz de resistir el bloqueo de dominios y las defensas de seguridad tradicionales.
El ataque comienza con correos de phishing disfrazados como comunicaciones relacionadas con reservas. Los destinatarios son dirigidos a un enlace de Google Share que los redirige a un sitio web malicioso, donde se les solicita descargar un archivo ZIP directamente o mediante una interfaz tipo ClickFix. El archivo descargado contiene un archivo de acceso directo de Windows (LNK) malicioso, disfrazado de imagen mediante el uso de un icono de la biblioteca shell32.dll de Windows.
Una vez que se abre el archivo de acceso directo, ejecuta en silencio un comando ofuscado de PowerShell. En lugar de almacenar el dominio de descarga en texto plano, los atacantes codifican la dirección como dos valores numéricos grandes. El script de PowerShell incrustado reconstruye el dominio malicioso realizando operaciones aritméticas y bit a bit, lo que hace que la infraestructura sea más difícil de identificar para las herramientas de seguridad durante el análisis estático.
La carga útil de PowerShell comprueba después si el entorno de ejecución de Node.js ya está instalado en el dispositivo objetivo. Si no está presente, el malware descarga la versión legítima de Windows de Node.js desde la infraestructura oficial de distribución del proyecto y la extrae en el directorio LocalAppData del usuario. Al depender de componentes de software auténticos en lugar de únicamente ejecutables maliciosos, los atacantes buscan integrarse con el comportamiento de aplicaciones legítimas y reducir la probabilidad de detección.
Después de instalar o localizar Node.js, el malware descifra una carga útil de JavaScript protegida con cifrado AES-128-CBC y codificación Base64. El código descifrado se ejecuta mediante el entorno de ejecución legítimo de Node.js, con la configuración de mando y control proporcionada como argumento en tiempo de ejecución.
Los investigadores informaron que el implante de JavaScript estaba fuertemente ofuscado y se ejecutaba mediante un intérprete de máquina virtual personalizado, en lugar de JavaScript estándar. Esta técnica incrementa significativamente la complejidad del análisis del malware al impedir que las herramientas de seguridad tradicionales basadas en firmas identifiquen fácilmente el código malicioso.
El ataque utiliza la blockchain de TON como una infraestructura resistente de mando y control, lo que permite a los atacantes actualizar instrucciones maliciosas sin modificar ni redistribuir el malware que ya esté instalado en sistemas comprometidos. Los investigadores identificaron varios dominios históricos de mando y control asociados con la campaña. Sin embargo, el malware no depende exclusivamente de dominios fijos para las instrucciones. En su lugar, los operadores pueden modificar los datos de configuración alojados en blockchain siempre que la infraestructura esté bloqueada, permitiendo que los sistemas infectados obtengan información actualizada de mando y control sin que el propio malware deba ser reemplazado.
El malware es capaz de descargar ejecutables de Windows, scripts de PowerShell y cargas útiles adicionales de JavaScript. Antes de ejecutar programas de Windows descargados, verifica el encabezado del archivo Portable Executable (PE), almacena el archivo con un nombre generado aleatoriamente en el directorio temporal y puede intentar añadir la ruta del archivo a la lista de exclusiones de Microsoft Defender para reducir las probabilidades de detección durante la ejecución.
Los investigadores aconsejaron a las organizaciones mantenerse alerta ante campañas de phishing que usen temas relacionados con viajes y reservas, en particular correos que contengan enlaces de Google Share que redirigen a descargas sospechosas. También recomendaron supervisar archivos ZIP que contengan archivos de acceso directo LNK disfrazados de imágenes, así como actividad inesperada de PowerShell e instalaciones no autorizadas de Node.js en sistemas empresariales.
¿Para qué se usa la blockchain de TON en esta campaña de malware?
La blockchain de TON se utiliza como una infraestructura resistente de mando y control que permite a los atacantes actualizar instrucciones maliciosas sin modificar ni redistribuir el malware que ya esté instalado en sistemas comprometidos. Los operadores pueden modificar los datos de configuración alojados en blockchain cuando la infraestructura está bloqueada, permitiendo que los sistemas infectados recuperen información actualizada de mando y control.
¿Cómo se disfraza el malware como software legítimo?
El malware descarga la versión legítima de Windows de Node.js desde la infraestructura oficial de distribución del proyecto y ejecuta cargas útiles de JavaScript cifradas a través del entorno de ejecución legítimo de Node.js. Al apoyarse en componentes de software confiables y utilidades de Windows, los atacantes integran su actividad con el comportamiento de aplicaciones legítimas, reduciendo la probabilidad de detección por herramientas de seguridad.
Noticias relacionadas
NEC se asocia con Ava Labs en una plataforma de identificación facial en blockchain para visitantes de Japón
La Universidad de Tel Aviv descubre un ataque de HalluSquatting, donde las alucinaciones de IA pueden ser utilizadas para construir redes de zombis
Oceanus Chain lanza un ecosistema DeFi e IA con preventa del token OCS
Las empresas de cripto desarrollan planes resistentes a la computación cuántica, mientras Google advierte sobre la amenaza para 2029
Los contratos inteligentes de Ethereum impulsan la campaña de skimming de Magecart