Un método que utilizan mucho los cibercriminales para atacar, es usar aplicaciones falsas. Crean programas que parecen legítimos, con el objetivo de que las víctimas los instalen y, de esta forma, infectar los sistemas, robar contraseñas o tomar el control del equipo. En este caso, se trata de un programa PDF falso, troyanizado, con capacidad para permitir acceso indeseado a un dispositivo.
Este descubrimiento lo han realizado desde Expel Security, expertos en seguridad informática y tecnología avanzada. Han descubierto una compleja campaña en la que utilizan software troyanizado que utiliza certificados de firma de código auténticos, lo que dificulta claramente la detección por parte de los sistemas antivirus. En caso de éxito, los atacantes podrían convertir los equipos comprometidos en proxies y tomar el control.
Programa PDF troyanizado
Como informan en su perfil de X en una publicación del 20 de agosto, en un mensaje que te dejamos a continuación, han detectado archivos con la firma “GLINT SOFTWARE SDN. BHD”, uno de ellos utilizado en un editor PDF. Eso permite convertir el dispositivo en un proxy residencial. Sin duda, un problema importante. A la espera de un informe completo en su web, puedes ver el hilo que han creado en X.
Expel@ExpelSecurity? A NEW trojan on the block spotted by our threat intel team ?We saw files with the code-signing signature “GLINT SOFTWARE SDN. BHD.” due to a JavaScript dropping “ManualFinder”
One of their signed files, a PDF editor, turns your device into a residential proxy—ew. ??
1/4 https://t.co/LWJZxx70ip20 de agosto, 2025 • 21:14
75
2
¿Qué significa que un dispositivo se convierta en un proxy residencial? Permiten utilizar el editor de PDF de forma gratuita, pero a cambio estás permitiendo que, ocasionalmente, otros puedan utilizar tu dirección IP para descargar datos de Internet. Prometen que los datos personales no van a quedar expuestos, pero sí que otros podrían navegar por Internet como si fueras tú, con tu IP.
Según los investigadores de seguridad, un elemento clave de todo esto es que utilizan un dropper de JavaScript que facilita la instalación de un troyano. Se implementa mediante mecanismos persistentes vinculados a OneStart Browser, una aplicación clasificada como PUP (Programa Potencialmente No Deseado) por firmas de seguridad como ESET y Malwarebytes desde 2024. Este software es conocido por emplear técnicas de evasión, como el cambio constante de hashes de archivo, y por establecer tareas programadas en Windows para garantizar su reinstalación.
Está diseñado para ser persistente, para que permanezca cuando la víctima reinicie el sistema. Es una tarea programada que ejecuta el archivo JavaScript desde el directorio temporal del usuario, aunque luego pueda permanecer. Cuando se activa, establece conexiones de comando y control con servidores controlados por los cibercriminales. Al explotar certificados de confianza, pueden evitar la detección.
Combina utilidad y malicia
Más allá de hacerse pasar por un editor PDF inofensivo, desde Expel Security también indican que hay otra aplicación, ManualFinder, diseñada para ayudar a localizar manuales de productos, que también tiene la capacidad de infectar el dispositivo con un malware de doble propósito, que es como lo denominan, al ofrecer utilidad, pero también malicia.
Esto último que mencionamos, hace que sea más complicado de detectar. La víctima cree, realmente, que ha instalado un editor PDF gratuito o esta aplicación ManualFinder que pueda ser útil. Sin embargo, más allá de funcionar bien, de tener utilidad, lo combina con malicia, con el propio software malicioso que va a ejecutarse en el sistema.
Para los investigadores en ciberseguridad, esto es significativo. Demuestra el abuso de la infraestructura de firma de código y lo complicado que puede ser rastrear y monitorizar infecciones persistentes y de bajo perfil.
Ten en cuenta que, al convertir tu dispositivo en un proxy, te están exponiendo también a riesgos legales. Al convertir su equipo en un proxy residencial, el usuario podría ser considerado cooperador necesario en actividades ilícitas realizadas desde su dirección IP, exponiéndose a responsabilidades legales según lo estipulado en normativas como el Artículo 197.1 del Código Penal español.
Consejos para evitar problemas
Para evitar problemas de este tipo, es fundamental mantener el sentido común. Estas aplicaciones maliciosas, como es este editor PDF del que hablan en Expel Security, va a llegar a través de sitios de terceros, de páginas que prometen software gratuito pero que, en muchos casos, se trata de un cebo para infectar el dispositivo. Dentro de las guías y recursos de INCIBE, el Instituto Nacional de Ciberseguridad, una recomendación clara es instalar siempre desde fuentes legítimas. Saber si un programa es seguro, es clave.
Nuestra recomendación es que únicamente instales software desde fuentes legítimas. Asegúrate de ir a la página oficial de ese programa, así como utilizar tiendas oficiales, como pueden ser Google Play o App Store. Nunca instales software de terceros, sin revisar previamente su procedencia.
Además, es fundamental tener bien preparados los dispositivos. Asegúrate de contar con las últimas versiones disponibles, para corregir cualquier vulnerabilidad que pueda haber. También deberías tener un antivirus que te ayude a detectar software malicioso.
0 Commentaires