Netcrook Logo
👤 KERNELWATCHER
🗓️ 15 Apr 2026  

Firmado y Peligroso: Cómo el Software Legítimo se Convirtió en un Arma Contra las Defensas Antivirus

Una ola de adware firmado digitalmente está desactivando silenciosamente herramientas de seguridad en todo el mundo, dejando a miles de organizaciones expuestas a amenazas mucho mayores.

Parecía solo otro generador de ventanas emergentes molestas, pero bajo su firma legítima se ocultaba algo mucho más siniestro. Cuando los investigadores de Huntress detectaron un escaneo rutinario que encendía alertas en redes gestionadas, no esperaban descubrir una campaña global que silenciosamente estaba desmantelando las protecciones antivirus en miles de equipos - including aquellos dentro de infraestructuras críticas, gobiernos y proveedores de salud. ¿El culpable? No era una vulnerabilidad de día cero ni un grupo APT en la sombra, sino un programa de adware firmado por una empresa real, utilizando herramientas comerciales de instalación para convertir software confiable en un agente de compromiso.

En el corazón de esta campaña está Dragon Boss Solutions LLC, una empresa que vende herramientas de navegador como Chromstera y Chromnius - programas señalados como potencialmente no deseados, pero que normalmente no se consideran peligrosos. Esa percepción cambió drásticamente el 22 de marzo, cuando Huntress descubrió que estas herramientas utilizaban un proceso avanzado y silencioso de actualización para desplegar cargas maliciosas con los más altos privilegios del sistema. Las cargas, disfrazadas de archivos inofensivos, apuntaban a productos antivirus de los principales proveedores - Malwarebytes, Kaspersky, McAfee, ESET - y los eliminaban forzosamente de los equipos infectados mediante un script de PowerShell llamado ClockRemoval.ps1.

Lo que hace que este ataque sea especialmente alarmante es su uso de firmas legítimas y software instalador confiable. Las cargas se entregaron a través de la plataforma comercial Advanced Installer, y el proceso de actualización se ejecutaba sin interacción del usuario, impidiendo que las víctimas desactivaran las actualizaciones automáticas o incluso notaran que algo había cambiado. El mecanismo de actualización del malware disfrazaba su instalador malicioso como una imagen GIF, evadiendo la detección de la mayoría de los motores antivirus.

Una vez incrustado, el script se ejecutaba al iniciar el sistema, al iniciar sesión y cada 30 minutos, asegurando que el software de seguridad no pudiera recuperarse. Detenía servicios AV, borraba archivos, bloqueaba dominios de proveedores e incluso secuestraba instalaciones de navegadores para evitar interferencias. Para cuando Huntress intervino - redireccionando el dominio de actualización no utilizado pero crítico - decenas de miles de sistemas comprometidos estaban solicitando nuevas instrucciones. Si un atacante hubiera reclamado ese dominio primero, podría haber enviado cualquier carga imaginable a una flota global de equipos ya indefensos.

La escala y el sigilo de esta campaña han obligado a replantear lo que realmente significa “software legítimo”. El código firmado y las herramientas comerciales ya no son garantía de seguridad - especialmente cuando la infraestructura que protege sectores críticos puede ser desmantelada por algo tan poco llamativo como el adware.

Mientras las organizaciones se apresuran a remediar, Huntress recomienda buscar tareas programadas sospechosas, suscripciones a eventos WMI y modificaciones en el archivo hosts que bloqueen sitios de proveedores AV. La lección es clara: en las manos equivocadas, incluso el software más inocuo puede convertirse en un arma potente. Y cuando la confianza se convierte en un arma, todos son potenciales víctimas.

WIKICROOK

  • Software firmado digitalmente: El software firmado digitalmente se autentica con un certificado digital, demostrando su legitimidad e integridad para proteger a los usuarios de programas alterados o maliciosos.
  • PUP (Programa Potencialmente No Deseado): Un PUP es software que no es malicioso pero suele ser no deseado, como adware o barras de herramientas, y puede afectar el rendimiento o la configuración de tu dispositivo.
  • Privilegios de SISTEMA: Los privilegios de SISTEMA son los derechos de acceso más altos en un sistema Windows, permitiendo control total sobre archivos, configuraciones y operaciones.
  • Carga útil: Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, entregada a través de correos o archivos maliciosos cuando la víctima interactúa con ellos.
  • Sinkhole: Un sinkhole es un método de ciberseguridad que redirige el tráfico malicioso a servidores controlados, permitiendo a los expertos bloquear ataques y estudiar amenazas cibernéticas.
adware antivirus cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news