Ciberseguridad · 4 min read · Sep 22, 2025

El grupo de ransomware BlackCAT impulsa instaladores maliciosos a través de malvertising

Seguridad

Los investigadores de seguridad de Trend Micro descubrieron que BlackCAT, también conocido como ALPHV, está llevando a cabo actividades publicitarias llenas de malware para atraer a las personas a sitios web falsos que parecen aplicaciones legítimas de transferencia de archivos WinSCP para Windows. Sin embargo, están colocando instaladores llenos de malware. Se encontró que BlackCat estaba ejecutando esta campaña en las páginas de Google y Microsoft Bing.

El grupo de ransomware está utilizando malvertising como un cebo para posiblemente infectar los dispositivos de profesionales de TI, administradores de sistemas y administradores web para obtener acceso inicial a la red corporativa y

Bueno, WinSCP es un protocolo de transferencia de archivos SSH gratuito y de código abierto, cliente de Amazon S3, WebDAV y protocolo de copia segura (SCP) para Windows, y la función principal de WinSCP es transferir archivos de manera segura desde el dispositivo local al servidor remoto.

Los ataques comienzan cuando el usuario busca la descarga de WinSCP en Google o Bing y luego obtiene los resultados maliciosos promocionados que están colocados por encima del sitio web legítimo de descarga de WinSCP.

Después de eso, el objetivo hace clic en el anuncio malicioso que lo lleva al sitio web malicioso que lo lleva a los tutoriales sobre cómo realizar transferencias automáticas de archivos a través de WinSCP.

Leer: Los actores de amenazas utilizan un instalador de juego Trojanizado de Super Mario 3 para difundir malware

El grupo de ransomware BlackCAT impulsa instaladores maliciosos a través de malvertising 1

Bueno, estos sitios web no tienen el instalador malicioso, posiblemente para escapar de la detección de los rastreadores de abuso de Google y Bing, redirigiendo en su lugar a los visitantes a un sitio web falso que imita el legítimo WinSCP con un botón de descarga.

Como es habitual, estos sitios web falsos tienen un nombre de dominio similar al dominio auténtico winscp.net con ese propósito, como WinSCP(dot)com.

El grupo de ransomware BlackCAT impulsa instaladores maliciosos a través de malvertising 2

A medida que el visitante hace clic en el botón de descarga, recibe el archivo ISO que contiene “setup.exe” y msi.dlll. Ahora, el primer archivo es para atraer al visitante a lanzarlo, y el segundo archivo es el malware activado por los ejecutables.

Según la firma de ciberseguridad, una vez que se ejecuta setup.exe, informará al segundo archivo, es decir, msi.dll, que extraerá una carpeta de Python de la sección RCDATA de DLL del instalador legítimo para que la aplicación de transferencia de archivos se instale en la computadora personal del visitante.

El grupo de ransomware BlackCAT impulsa instaladores maliciosos a través de malvertising 3

A medida que el usuario realiza esta acción, también instala un python.dll lleno de troyanos y crea un proceso de persistencia al crear una clave de ejecución que es Python y el valor “C:\Users\Public\Music]python\phthonw.exe”.

El ejecutable phthon.exe lleva al alterado y oscuro python310.dll que lleva un faro de Cobalt Strike que se conecta con la dirección del servidor de comando y control.

El grupo de ransomware BlackCAT impulsa instaladores maliciosos a través de malvertising 4

Los actores de amenazas que tienen Cobalt Strike en la máquina víctima, les resulta fácil ejecutar más scripts y obtener las herramientas para moverse dentro y aumentar la infección.

La firma de seguridad Trend Micro observó que los actores de amenazas están utilizando estas herramientas como,

  • Findstr: Herramienta de línea de comandos utilizada para buscar contraseñas dentro de archivos XML.

  • AdFind: Herramienta de línea de comandos que se utiliza para recuperar información de Active Directory.

  • Accesschk64: Esta herramienta de línea de comandos se utiliza para observaciones de permisos de usuarios y grupos.

  • Comandos de PowerShell: Se utiliza para extraer archivos Zip, recopilar datos de usuarios y ejecutar scripts.

  • Anydesk: Esta es una herramienta remota legítima mal utilizada para continuar la persistencia.

  • Scripts de Python: Se utilizan para ejecutar la herramienta de recuperación de contraseñas LaZagne y obtener las credenciales de Veeam.

  • KillAV BAT: Este script se utiliza para deshabilitar y evadir la detección por antivirus.

  • PowerView: Este script se utiliza para la observación y enumeración de Active Directory.

  • PsExec, Curl y BitsAdmin: todas estas herramientas se utilizan para el movimiento lateral de la infección dentro de la red.

  • PuTTY Secure Copy: Este cliente se utiliza para exfiltrar la información recopilada de la máquina comprometida.

Eso no es todo; los actores de amenazas, junto con todas estas herramientas, también utilizaron el SPY Termitor, un deshabilitador de ED y antivirus que los actores de amenazas venden en foros de hacking rusos.

Los investigadores de la firma de seguridad vincularon las infecciones TTPS mencionadas anteriormente al grupo de ransomware Black Cat, ya que también descubrieron un archivo de rescate de Clop en uno de los servidores C2 que investigaron, lo que significa que el grupo podría estar involucrado en dos campañas de ransomware.

Leer: Masiva filtración de datos: más de 100K cuentas de Chat GPT robadas, advierte Group IB

Share: X/Twitter LinkedIn
#Ciberseguridad

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.