Investigadores han descubierto una campaña significativa donde una herramienta de adware firmada digitalmente se utilizó para desplegar payloads ejecutándose con privilegios de SYSTEM, deshabilitando efectivamente las protecciones antivirus en miles de endpoints. Estos endpoints abarcan diversos sectores, incluyendo educación, servicios públicos, gobierno y salud. En un solo día, los investigadores observaron más de 23.500 hosts infectados en 124 países intentando conectarse a la infraestructura del operador, con cientos de endpoints infectados presentes dentro de redes de alto valor. ### Más que solo Adware Investigadores de seguridad en **Huntress** descubrieron la campaña el 22 de marzo, señalando que ejecutables firmados, clasificados como programas potencialmente no deseados (PUPs), estaban activando alertas en múltiples entornos gestionados. Los PUPs generalmente se consideran una molestia, generando ingresos principalmente a través de publicidad. Sin embargo, esta campaña demuestra una evolución más siniestra. El software fue firmado por una empresa llamada **Dragon Boss Solutions LLC**, que según Huntress está involucrada en "investigación de monetización de búsqueda" y promueve varias herramientas como **Chromstera Browser**, **Chromnius**, **WorldWideWeb**, **Web Genius** y **Artificius Browser**. Estas herramientas a menudo son marcadas como PUPs por las soluciones de seguridad.  Más allá de las molestias típicas de anuncios y redirecciones, estos navegadores presentan un mecanismo de actualización avanzado que despliega un "asesino de antivirus". ### Desactivando la Seguridad Huntress descubrió que la operación aprovechó el mecanismo de actualización de la herramienta comercial de autoría **Advanced Installer** para desplegar payloads MSI y PowerShell. El archivo de configuración para el proceso de actualización reveló indicadores que indicaban una operación completamente silenciosa sin interacción del usuario. Los payloads se instalaron con privilegios elevados (SYSTEM), impidiendo que los usuarios deshabilitaran las actualizaciones automáticas y la verificación frecuente de nuevas actualizaciones. El proceso de actualización recupera un payload MSI (Setup.msi) disfrazado como una imagen GIF, que es marcado como malicioso en **VirusTotal** por un número limitado de proveedores de seguridad. Este payload MSI incluye DLLs legítimas utilizadas por Advanced Installer para tareas como ejecutar scripts de PowerShell e identificar software específico. Las instrucciones para el instalador están contenidas en un archivo separado llamado '<em>!_StringData</em>'. Antes de desplegar el payload principal, el instalador MSI realiza reconocimiento, verificando el estado de administrador, detectando máquinas virtuales, verificando la conectividad a Internet y consultando el registro para productos antivirus (AV) instalados de **Malwarebytes**, **Kaspersky**, **McAfee** y **ESET**. Estos productos de seguridad se deshabilitan luego usando un script de PowerShell llamado <em>ClockRemoval.ps1</em>. .jpg) El script *ClockRemoval.ps1* se ejecuta al iniciar el sistema, al iniciar sesión y cada 30 minutos, asegurando que los productos AV sean eliminados deteniendo servicios, finalizando procesos, eliminando directorios de instalación y entradas de registro, ejecutando desinstaladores de proveedores silenciosamente y eliminando archivos forzosamente cuando los desinstaladores fallan. El script también bloquea dominios de proveedores modificando el archivo hosts y aplicándoles null-routing (redireccionándolos a 0.0.0.0), impidiendo la reinstalación o actualizaciones de los productos de seguridad. Durante el análisis, Huntress descubrió que el operador no había registrado el dominio de actualización principal (<em>chromsterabrowser[.]com</em>) ni el de respaldo (<em>worldwidewebframework3[.]com</em>). Esto les permitió realizar un "sinkhole" de la conexión desde hosts infectados. Al registrar el dominio de actualización principal, Huntress observó "decenas de miles de endpoints comprometidos contactando en busca de instrucciones que, en las manos equivocadas, podrían haber sido cualquier cosa". Basándose en direcciones IP, los investigadores identificaron 324 hosts infectados en redes de alto valor: * 221 instituciones académicas en América del Norte, Europa y Asia * 41 redes de Tecnología Operacional en los sectores de energía y transporte, y en proveedores de infraestructura crítica * 35 gobiernos municipales, agencias estatales y servicios públicos * 24 instituciones educativas primarias y secundarias * 3 organizaciones de atención médica (sistemas hospitalarios y proveedores de atención médica) * Redes de múltiples empresas Fortune 500 Los intentos de BleepingComputer de contactar a Dragon Boss Solutions no tuvieron éxito ya que su sitio ya no está operativo. Huntress advierte que, si bien la herramienta actúa actualmente como un "asesino de AV", el mecanismo podría introducir payloads mucho más peligrosos. Recomiendan a los administradores de sistemas que busquen suscripciones de eventos WMI que contengan "MbRemoval" o "MbSetup", tareas programadas que hagan referencia a "WMILoad" o "ClockRemoval", y procesos firmados por Dragon Boss Solutions LLC. Adicionalmente, revisen el archivo hosts en busca de entradas que bloqueen dominios de proveedores de AV y verifiquen las exclusiones de **Microsoft Defender** para rutas sospechosas como "DGoogle", "EMicrosoft" o "DDapps".