Los Hackers Cada Vez Más Construyen Campañas de Malware en Servicios de Infraestructura Legítima

Nota de Lionel: Bienvenidos a la tercera publicación de nuestra serie Future Insights 2025. Esta publicación del equipo de investigación X-Labs analiza el aumento de campañas de malware construidas sobre servicios de infraestructura legítima. Haz clic para leer publicaciones anteriores de la serie.

###

A lo largo de 2024, mientras continuábamos rastreando la actividad en torno a las últimas campañas de malware y phishing, el equipo de X-Labs notó una tendencia: los hackers están dejando de usar sitios web comprometidos para alojar malware y, en su lugar, construyen campañas de malware en servicios de infraestructura legítima. Según nuestros datos, esperamos que esta tendencia se acelere en 2025 y en adelante.

Ejemplos de Campañas de Malware

Tomemos como ejemplo blogspot.com, el servicio de dominio gratuito de Google que proporciona un subdominio para Blogger. Allí encontramos a los autores de malware Agent Tesla alojando cargas de etapa. En julio, observamos una serie de actividades en las que los hackers aprovecharon Trycloudflare.com y Python para desplegar el malware AsyncRAT. Y la actividad del RAT Remcos sobre la cual publicamos en junio también utilizó Trycloudflare.com. Los hackers usaron TryCloudflare para campañas de malware como XWorm y otros. La campaña de malware Snakekeylogger utilizó Discord CDN como una red de distribución de contenido público para alojar archivos maliciosos.

Los hackers también aprovecharon Secureserver.net extensivamente para actividades de malware. Ese fue el origen de una campaña de malware sobre la que publicamos que estaba dirigida principalmente a instituciones financieras en América Latina. Adicionalmente, otros malwares como Grandoreiro y el NetSupport RAT usaron el dominio Secureserver.net. Para dar una idea de la magnitud, Forcepoint interceptó más de 3.7 millones de correos electrónicos sospechosos que contenían URLs de Secureserver.net solo en los últimos meses.

En el caso de Remcos y Agent Tesla, encontramos ejemplos de ambos utilizando servicios gratuitos para alojar imágenes de esteganografía u otras descargas de etapa:

• uploaddeimagens.com.br  
• archive.org
• raw.githubusercontent.com

Para la exfiltración de datos y la comunicación de comando y control, varias campañas de malware aprovecharon los siguientes servicios legítimos:

1 - Servicios de DNS Dinámico
Los hackers utilizan estos servicios para cambiar direcciones IP y así evadir la detección.

• freeddns.noip.com (servequake.com)
• freeddns.dynu.com
• duckdns.org

2 - Telegram Bot API
La API de Bot de Telegram permite a los actores maliciosos construir bots para interactuar con usuarios en la plataforma de Telegram.

• api.telegram.org/bot

3 - Servicios de Almacenamiento de Archivos Pequeños

Almacenar archivos utilizando servicios de almacenamiento gratuitos y bien conocidos hace que sea más difícil rastrear la actividad maliciosa.

• qu.ax
• store2.gofile.io/download

4 - Servicios de Reenvío de Puertos

Almacenar archivos en múltiples ubicaciones remotas bien conocidas hace que sea más difícil rastrear la actividad maliciosa en curso.

• ply.gg
• portmap.host

Para tener una idea de la escala de los hackers que cambian a servicios legítimos, analizamos la actividad de amenazas observada en los 50 principales servicios de alojamiento web. Esa lista incluyó a varios de los principales actores como Windows.net, Wordpress.com, Bluehost, Wix, Firebase de Google y muchos otros. A continuación, el gráfico muestra plataformas de alojamiento web con riesgos de seguridad en subdominios:

Servicios Legítimos Utilizados para Campañas de Phishing

Centrando nuestra atención en el phishing, nos encontramos con campañas donde los hackers aprovechan varios servicios de Cloudflare: utilizan Pages para desplegar páginas web estáticas, y también emplean Workers para implementar código sin servidor en múltiples ubicaciones alrededor del mundo. Los actores maliciosos también se benefician de la CDN de Cloudflare para acelerar la entrega de aplicaciones SaaS en cualquier parte del mundo.

Hemos observado niveles significativos de actividad en el dominio Windows.net, donde los hackers aprovechan Azure Blob Storage para alojar y servir contenido web estático, archivos y aplicaciones. Los atacantes se aprovechan de esto al hospedar páginas de phishing, malware o fraudes de soporte técnico en subdominios como web.core.windows.net o azurewebsites.net. Estos subdominios hacen que el contenido malicioso parezca más confiable, ya que están asociados con la infraestructura de confianza de Microsoft.

Y, por supuesto, los hackers también dependen de servicios de código abierto como IPFS. Su naturaleza descentralizada hace que sea más difícil derribar páginas web, archivos o aplicaciones, ya que están distribuidos en varios servidores. Los hackers cuentan con que los métodos tradicionales de eliminación de alojamiento web (como contactar al proveedor de alojamiento) no funcionan eficazmente con IPFS, ya que el contenido se distribuye en muchos nodos.

Los atacantes usan URLs maliciosas rotativas, alojadas en plataformas como AWS o Azure, para evadir la detección y el bloqueo.

Hackers Pensando Como Especialistas en Marketing Digital

Para campañas de phishing, los atacantes a veces se ponen el sombrero de especialistas en marketing digital. En este sentido, recurren a tácticas como el envenenamiento de SEO, en el que utilizan palabras clave populares o en tendencia en el contenido de sus sitios web maliciosos para engañar a los motores de búsqueda y lograr una mejor clasificación. Estas palabras clave suelen estar relacionadas con eventos actuales, software popular o preocupaciones de seguridad (por ejemplo, "antivirus gratis," "Google Authenticator," etc.).

Hablando de pensar como especialistas en marketing digital, los hackers también utilizan anuncios de Google para promocionar sus productos a víctimas desprevenidas. Hemos observado escenarios en los que se hacen pasar por elementos de la línea de productos de Google, como Google Authenticator o Google Maps, por ejemplo. Utilizan Looker Studio de Google para crear páginas de inicio falsas. En esas páginas falsas, muestran imágenes que simulan lo que se esperaría ver en la página de búsqueda de Google para engañar a los usuarios y hacer que interactúen con la página falsa. Utilizan anuncios para atraer a los usuarios a estas páginas falsas de Google.

Tendencia de Categorías de Malware de Cara a 2025

Comparamos diferentes categorías de malware detectadas a través de nuestras firmas en tiempo real durante los últimos meses para tener una idea de las tendencias de categorías de malware en 2025. En el gráfico a continuación, el número de sitios web maliciosos se cuadruplicó, pasando de menos de 100,000 en el primer trimestre de 2024 a casi 500,000 instancias al final del tercer trimestre. Esperamos que esa tendencia continúe. El phishing y las estafas representaron el segundo mayor volumen, creciendo de aproximadamente 125,000 instancias en el primer trimestre a casi 400,000 al final del tercer trimestre de 2024. En comparación, esperamos que la categoría de sitios web comprometidos continúe rezagada respecto a estas principales categorías de malware.

Desde ahí, decidimos analizar más de cerca cuáles sectores están más en riesgo debido a los sitios web maliciosos, la principal categoría de malware que examinamos. El gráfico a continuación destaca las tendencias de varios sectores en riesgo debido a la hospedería de sitios maliciosos. El sector de Negocios y Economía fue el más afectado por volumen durante el último año. Sin embargo, esperamos que la plataforma de Datos y Servicios Financieros lo supere, ya que las empresas de servicios financieros siguen siendo atacadas a una tasa más alta del primer al tercer trimestre de 2024.

Por último, analizamos qué sectores estaban más en riesgo debido a phishing y estafas, la segunda categoría de malware más popular. No es sorprendente que el sector de Negocios y Economía lidere como el más en riesgo, con una trayectoria creciente más pronunciada del primer al segundo trimestre de 2024, y en menor medida entre el segundo y el tercer trimestre de 2024. Tecnología de la Información es el segundo sector más en riesgo, aunque está significativamente por detrás del sector líder. Vea el gráfico a continuación: 

Cómo la IA encaja en la mezcla de malware

Al igual que la mayoría de nosotros, los hackers siguen aprovechando la IA en sus esfuerzos. La utilizan para crear componentes de una campaña, desde escribir copias convincentes para sitios web falsos, hasta elaborar correos electrónicos que suenan auténticos, e incluso para crear intentos de phishing sofisticados vía SMS o intentos de phishing por voz. Pueden usarla para crear documentos convincentes, como facturas, detalles de trabajos o ítems de referencia que contienen un malware. O pueden usar chatbots para interactuar con las víctimas en conversaciones en tiempo real, tratando de engañarlas para que compartan información sensible. Del mismo modo, los LLMs pueden ser utilizados para generar respuestas contextuales, respondiendo rápidamente a una víctima que responde a un correo de phishing, por ejemplo. En esos casos, las conversiones en tiempo real pueden aumentar considerablemente la credibilidad de un ataque.

La otra realidad es que la IA hace que la tecnología sea más accesible para una nueva generación de hackers. Con la ayuda de la IA, una persona joven puede crear muchos de los elementos de una campaña de malware utilizando servicios legítimos como infraestructura para alojar e implementar todo. Sumando todo esto, parece que hay una gran posibilidad de que los scripts kiddies den paso a los malware kiddies o phishing kiddies. El tiempo dirá.