- El adware Huntress Sinkholes está firmado por Dragon Boss Solutions LLC
- El malware deshabilitó el antivirus y dejó dominios de actualización abiertos explotables por 10 dólares
- Miles de terminales se han visto comprometidos, incluidas universidades, redes OT, gobiernos y empresas Fortune 500.
La investigadora de seguridad Huntress se topó recientemente con un programa publicitario que, según todos los indicios, debería haber sido una molestia molesta y común para mostrar anuncios. Sin embargo, lo que encontraron debajo de la superficie llamó la atención y justificó una investigación más profunda.
A finales de marzo de 2026, Huntress fue alertada sobre un software firmado por una empresa llamada Dragon Boss Solutions LLC. Esta empresa, que supuestamente trabaja en “investigación de monetización de búsquedas” (pero en lugar de eso sólo muestra y redirige anuncios no deseados a las personas) tiene un proceso de actualización avanzado que desactiva los programas antivirus y les impide comenzar de nuevo.
Al analizar cómo funciona el malware, los investigadores descubrieron que los actores de la amenaza no registraron el dominio de actualización original ni el de respaldo, lo que presentaba, al mismo tiempo, un gran riesgo y una gran oportunidad para hacer el bien.
El artículo continúa a continuación.
cortar lazos
“Es más, tiene una puerta abierta incorporada en su configuración actualizada, por la que cualquiera con $10 puede atravesar”, dijo Huntress. En otras palabras, uno puede registrar estos dominios y así tomar el control de una enorme red de ordenadores infectados.
En cambio, Huntress compró los dominios ellos mismos, cortando efectivamente la conexión de todos los hosts infectados.
“En cuestión de horas”, vieron “miles de puntos finales comprometidos alcanzados en busca de instrucciones que, en las manos equivocadas, podrían ser cualquier cosa”.
Al analizar las direcciones IP entrantes, los investigadores de Huntress encontraron 324 dispositivos infectados en ubicaciones de alto valor, incluidas 221 instituciones académicas, 41 redes de tecnología operativa en los sectores de energía y transporte, 35 gobiernos municipales, agencias estatales y servicios públicos, 24 instituciones de educación primaria y secundaria y 3 organizaciones de atención médica. Además, las redes de varias empresas de Fortune 500 también se vieron comprometidas.
Para estar seguros, los investigadores recomiendan a los administradores de sistemas buscar suscripciones a eventos WMI que contengan tareas programadas que mencionen “MbRemoval” o “MbSetup”, “WMILoad” o “ClockRemoval” y procesos firmados por Dragon Boss Solutions LLC.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
