Imagen
Investigadores de ciberseguridad han dado a conocer una campaña activa de distribución de malware que utiliza aplicaciones falsas de conversión de archivos como vector principal de infección, aprovechando anuncios patrocinados en buscadores y sitios web aparentemente legítimos.
Estas aplicaciones se presentan como herramientas gratuitas de productividad por ejemplo, conversores de documentos “Word a PDF”, imágenes o archivos comprimidos y, en apariencia, cumplen la función anunciada. Sin embargo, de forma paralela, instalan software malicioso de manera silenciosa, permitiendo a los atacantes obtener acceso remoto persistente a los sistemas afectados.
Un vector de ataque basado en la confianza del usuario
Según los análisis publicados por investigadores especializados, el inicio de la cadena de infección suele producirse cuando las personas usuarias buscan este tipo de herramientas en Internet. Los anuncios maliciosos aparecen en posiciones destacadas de los resultados de búsqueda, lo que incrementa su credibilidad y probabilidad de clic.
Al acceder a estos enlaces, las víctimas son redirigidas a páginas web con un diseño profesional, que incluyen secciones habituales como preguntas frecuentes, descripciones de funcionalidades y políticas de privacidad. Desde estas páginas se descargan aplicaciones que aparentan ser legítimas, pero que incorporan cargas maliciosas ocultas.
En algunos casos, los sitios web implicados no alojan directamente el malware, sino que redirigen a otros dominios encargados de la entrega final de la carga maliciosa, dificultando su detección y bloqueo.
Malware con acceso remoto persistente
Las aplicaciones analizadas distribuyen troyanos de acceso remoto (RATs), un tipo de malware que permite a los atacantes mantener el control del sistema infectado durante largos periodos de tiempo. Una vez comprometido el equipo, el software malicioso puede facilitar acciones como:
- Acceso remoto al sistema afectado
- Robo de información personal o corporativa
- Registro de pulsaciones de teclado
- Captura de pantallas
- Acceso al sistema de archivos
- Descarga e instalación de malware adicional
Uno de los aspectos más relevantes de esta campaña es el uso de certificados de firma de código válidos, lo que permite que las aplicaciones aparenten legitimidad tanto para los usuarios como para algunos controles de seguridad, reduciendo la probabilidad de detección temprana.
Persistencia y comportamiento observado
Los análisis técnicos indican que el malware establece mecanismos de persistencia mediante la creación de tareas programadas, que ejecutan binarios maliciosos de forma periódica. Además, los componentes del malware suelen almacenarse en directorios de usuario y comunicarse con servidores de mando y control (C2) para recibir instrucciones y descargar nuevas cargas.
En algunos casos, se ha observado el uso de identificadores únicos por sistema comprometido, lo que permite a los atacantes gestionar las infecciones de forma individualizada.
Dominios implicados en la campaña
Entre los dominios identificados en la distribución de estas aplicaciones se encuentran, entre otros:
- ez2convertapp[.]com
- convertyfileapp[.]com
- powerdocapp[.]com
- infinitedocsapp[.]com
- convertmasterapp[.]com
- pdfskillsapp[.]com
- zipmatepro[.]com
Los investigadores señalan que la infraestructura asociada a esta campaña es dinámica y puede variar con el tiempo.
Impacto potencial en usuarios y organizaciones
Este tipo de campañas afecta tanto a usuarios particulares como a entornos corporativos y administrativos, especialmente en aquellos casos en los que no existen restricciones sobre la instalación de software o donde se confía de forma excesiva en los resultados patrocinados de los buscadores.
El incidente pone de relieve cómo herramientas aparentemente inofensivas, utilizadas en tareas cotidianas, pueden convertirse en un vector eficaz para comprometer sistemas y acceder
