Se ha surgido una sofisticada campaña de malware que explota un software de acceso remoto legítimo de Connectwise para crear aplicaciones maliciosas con firmación válida, que representa una evolución significativa en las tácticas ciberdeliminales.
Desde marzo de 2025, los investigadores de seguridad han observado un aumento dramático en los ataques utilizando lo que llaman “EvilConwi”, una técnica que permite a los actores de amenaza construir malware de acceso remoto personalizado mientras mantienen las firmas digitales legítimas de las aplicaciones conectadas.
La campaña se extiende principalmente a través de correos electrónicos de phishing que contienen enlaces OnEdrive que redirigen a las víctimas a las páginas de Canva engañosas con los botones “Ver PDF”, descargando finalmente los instaladores maliciosos de Connectwise.
Estos ataques han sido particularmente efectivos porque la mayoría de los productos antivirus no pueden detectar las muestras de Connectwise configuradas maliciosamente como malware, incluso hasta mayo de 2025.
Comparación de muestra (fuente – G Datos)
Las víctimas informan que experimentan pantallas falsas de actualización de Windows y movimientos del mouse no autorizados, lo que indica conexiones remotas activas establecidas por los atacantes.
G Analistas de datos identificado La amenaza después de investigar múltiples informes de usuarios sobre los foros de ciberseguridad, donde las víctimas buscaron ayuda para eliminar infecciones conectadas no deseadas.
Los investigadores descubrieron que los actores de amenazas están aprovechando una técnica llamada “relleno de autenticodo” para incrustar configuraciones maliciosas dentro de la estructura de certificados de los instaladores legítimos de Connectwise, lo que les permite modificar el comportamiento de la aplicación sin invalidar la firma digital.
El malware se disfraza de varias aplicaciones legítimas, incluidos los convertidores de imágenes basados en IA, los instaladores de zoom, los archivos de configuración de Microsoft Excel y las actualizaciones de Adobe.
Una vez instalados, los clientes maliciosos de Connectwise establecen conexiones remotas persistentes mientras oculta su presencia a través de íconos de la bandeja del sistema deshabilitado, notificaciones de conexión suprimidas y pantallas falsas de actualización de Windows que desaniman a los usuarios a cerrar sus sistemas.
Robado de autentico: la base técnica del ataque
El núcleo de este ataque se basa en un abuso sofisticado del proceso de firma Authenticode a través de una técnica conocida como “relleno de autenticodo”.
Formato de firma PE de Windows Authenticode PE (fuente – G Data)
Este método explota cómo Windows valida las firmas digitales colocando datos de configuración maliciosa en atributos no autenticados dentro de la tabla de certificados, que se excluyen del proceso de verificación de firma.
Cuando Windows calcula el AuthentIhash para verificar el certificado de un archivo ejecutable portátil, omite deliberadamente ciertas áreas, incluida la tabla de certificados en sí y cualquier atributo no autenticado contenido en ella.
Los actores de amenaza explotan este diseño al incorporar datos de configuración integrales en estas secciones excluidas, creando efectivamente un mecanismo de firma legítimo para la distribución de malware.
G Los investigadores de datos desarrollaron herramientas de análisis para extraer estas configuraciones ocultas, revelando las extensas capacidades de personalización disponibles para los atacantes.
Su script de extracción de certificado basado en Python demuestra cómo los actores de amenaza integran modificaciones de comportamiento críticas directamente dentro de la estructura del certificado:-
import pefile from asn1crypto import cms import sys import os def dump_certificate_table(file_path, output_dir): pe = pefile.PE(file_path, fast_load=True) security_dir_entry = pe.OPTIONAL_HEADER.DATA_DIRECTORY( pefile.DIRECTORY_ENTRY(‘IMAGE_DIRECTORY_ENTRY_SECURITY’) ) if Security_dir_entry.virtualAddress == 0: imprime (“no se encontró tabla de certificados”) return cert_table_offset = Security_dir_entry.virtualAddress cert_table_size = Security_dir_entry.size cert_data = PE .__ Data __ (cert_table_offset: cert_table_offset + cert_table_size)
Las configuraciones integradas incluyen banderas de instalación silenciosas, URL y puertos de conexión, iconos de aplicaciones personalizados, títulos de ventanas engañosas y configuraciones que deshabilitan los indicadores de seguridad.
El análisis de muestras maliciosas revela configuraciones que reemplazan la marca Legitimate Connectwise con iconos de Google Chrome y mensajes falsos de actualización de Windows, al tiempo que deshabilitan sistemáticamente características como notificaciones de bandeja del sistema y fondos de pantalla de conexión que alertarían a los usuarios de las sesiones remotas activas.
Esta técnica representa un desarrollo particularmente preocupante en la distribución de malware, ya que permite que los ciberdelincuentes creen herramientas de acceso remotos completamente funcionales utilizando las firmas digitales confiables de proveedores de software legítimos, evitando efectivamente los controles de seguridad tradicionales mientras mantienen el acceso persistente a los sistemas comprometidos.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
