El malware Oyster, también conocido como Broomstick o Cleanuploader, ha resurgido en ataques disfrazados de herramientas populares como Putty, Keypass y WinsCP.
Este malware, activo desde al menos 2023, engaña a los usuarios para que descarguen instaladores maliciosos, potencialmente allanando el camino para infecciones por ransomware como Rhysida.
Los investigadores de amenazas cibernéticas descubrieron recientemente una instancia del mundo real en la segunda mitad de julio de 2025, donde un usuario desprevenido fue atraído por instalar un ejecutable de masilla falsa.
El ataque fue detectado y bloqueado rápidamente por medidas de seguridad, evitando que cualquier actividad de teclado práctica de los intrusos. Este incidente destaca el peligro persistente de la intoxicación por SEO, donde los atacantes manipulan las clasificaciones de búsqueda para promover sitios maliciosos que imitan las descargas de software legítimas.
La campaña comienza con los usuarios que buscan herramientas como Putty. Los resultados envenenados conducen a dominios como Updaterputty (.) Com, Putty (.) Run, o masilla (.) Bet, que alojan instaladores falsos.
Flujo de ataque
En el caso observado, el archivo malicioso llamado Putty-Setup.exe con SHA256 hash A8E9F0DA26A3D6729E744A6EA566C4FD4E372CEB4B2E7FC01D088444BFC5C3ABB se descargó de Danielaurel (.) TV.
Una vez ejecutado, el instalador deja caer un archivo DLL malicioso, zqin.dll, y lo ejecuta a través de runcll32.exe. Esto establece la puerta trasera de Oyster, que recopila información del sistema, roba credenciales, ejecuta comandos y descarga malware adicional, lee el informe.
La persistencia se logra a través de una tarea programada llamada “Firefox Agent Inc”, que se ejecuta cada tres minutos, asegurando que el malware permanezca activo incluso después de reiniciar.
En particular, el instalador utilizó un certificado digital revocado, una táctica que se ve en otras campañas recientes como las que abusan de la captura de pantalla de Connectwise.
Virustotal Scans reveló múltiples archivos firmados con el mismo certificado revocado, lo que indica una operación más amplia. Los registros proxy del incidente mostraron al usuario visitando sitios de SEO publicados, confirmando el engaño.
Las campañas de Oyster han evolucionado desde serguerando a los equipos de Google Chrome y Microsoft a las herramientas específicas de TI, explotando la confianza de los administradores en el software familiar. Arctic Wolf informó por primera vez una malvertición similar a principios de junio de 2025, que lo vinculó con los instaladores troyanos que entregan la puerta trasera. Estos cargadores a menudo facilitan el ransomware, como se ve con las implementaciones de Rhysida.
Análisis de sandbox
Para los administradores de TI, el riesgo es agudo: una sola búsqueda envenenada puede comprometer las redes enteras. En el caso cibernético, Análisis de sandbox en cualquiera. confirmó el comportamiento malicioso del archivo, incluida la ejecución de DLL y la programación de tareas. No se produjo una mayor explotación debido a la detección oportuna, pero el potencial de robo de datos o ransomware sigue siendo alto.
Indicadores de compromiso (COI) para Oyster Backdoor
Indicador TypeIndicAdomainUpdaterputty (.) Comdomainzephyrhype (.) ComDomaInputty (.) RunDomaInputty (.) BetDomaInputTyy (.) ORGIP DIRECCIÓN194.213.18.89IP DIRECCIÓN 85.239.52.99FILE Hash3d22aa9746777164d6bd7166e521e96d07cd00c884b0aaAcb555555505c6a62a1c26file Hasha8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abbfile Hash3654c9585f3e86fe347b078cf44a35b6f8deb1516cdcd84e19bf3965ca86a95bfile namezqin.dll
Para mitigar, las organizaciones deben educar a los usuarios sobre la verificación de las descargas, habilitar la autenticación multifactor e implementar herramientas de detección de puntos finales. La búsqueda regular de tareas sospechosas y el monitoreo de certificados revocados pueden ayudar. A medida que el envenenamiento por SEO aumenta, permanecer atento a estas tácticas engañosas es crucial para salvaguardar los ambientes.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
