Los ciberdelincuentes han descubierto un nuevo método sofisticado para distribuir herramientas de acceso remoto malicioso explotando Vercel, una plataforma de alojamiento frontend legítima, para alojar páginas de phishing convincentes que ofrecen versiones armadas de Software LogMein.
Esta amenaza emergente demuestra cómo los atacantes abusan cada vez más de la infraestructura confiable para evitar medidas de seguridad y obtener acceso no autorizado a los sistemas de víctimas.
El ataque comienza con correos electrónicos de phishing cuidadosamente diseñados que contienen enlaces que redirigen a los destinatarios a páginas maliciosas alojadas en los dominios *.vercel.app de Vercel.
Estas páginas fraudulentas se hacen pasar por los espectadores de Adobe PDF, creando un falso sentido de legitimidad que alienta a los usuarios a descargar lo que parece ser un documento estándar, pero en realidad es un archivo ejecutable disfrazado de “factura06092025.exe.bin”.
Investigadores de Cyberarmor identificado Esta campaña a través de un monitoreo extenso de actividades maliciosas dirigidas a entornos empresariales.
El análisis de la firma de seguridad reveló que una vez ejecutado, el malware se instala automáticamente y establece conexiones con los servidores logmein, proporcionando cibercriminales con control remoto completo sobre máquinas comprometidas.
Punto de caída de malware logmein (fuente – Cyberarmor)
El alcance de la campaña es particularmente preocupante, con investigadores que documentan más de 28 campañas de ataque distintas dirigidas a más de 1,271 usuarios en un período de dos meses.
La efectividad del malware proviene de su abuso de plataformas legítimas, lo que hace que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
Mecanismo de infección
El malware emplea varias técnicas sofisticadas para evadir la detección.
La muestra principal analizada muestra las siguientes firmas criptográficas: MD5 hash F3F8379CE6E0B8F80FAF259DB24443F13, SHA1 5FD4BCCA28553EBE759EC97FCBC3A2A73268F85 y SHA256 0A1A85A026B6D477F59BC3D965B07D0D06E6FF2D34381AFF79EA71C38FED802B.
Los atacantes aprovechan numerosos subdominios Vercely, que incluyen “impageinvoiceremitaath.vercel.app” y “waybill-deliveryTicket.vercel.app” para alojar su contenido malicioso (1), explotando la reputación de la plataforma para evitar los filtros de seguridad de correo electrónico y las advertencias de los navegadores.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
