Buscar herramientas confiables como Zenmap o WinMTR para tareas de diagnóstico de red se ha vuelto una rutina para muchos profesionales de TI. Sin embargo, esa rutina está siendo aprovechada por actores maliciosos a través de una nueva campaña de envenenamiento SEO que utiliza dominios falsos para distribuir el malware Bumblebee. La campaña, descubierta recientemente, no solo se hace pasar por RVTools, sino que ha comenzado a imitar otros proyectos de código abierto conocidos mediante técnicas de typosquatting, engañando a los usuarios para que descarguen instaladores maliciosos desde sitios que parecen legítimos.
En esta táctica, se han identificado casos específicos donde se abusa del nombre de Zenmap (la interfaz gráfica del escáner de red Nmap) y de WinMTR, una utilidad de rastreo muy usada en entornos empresariales. Estas herramientas requieren frecuentemente privilegios administrativos, lo que convierte a quienes las utilizan en objetivos ideales para los atacantes: usuarios con acceso privilegiado que pueden ser la puerta de entrada perfecta para comprometer toda una red corporativa.
Lo que podría parecer una simple búsqueda en Google para descargar una herramienta técnica puede convertirse en el primer paso hacia una infección devastadora.
Cómo los sitios falsos engañan con clones casi perfectos
El malware Bumblebee se ha estado distribuyendo a través de al menos dos sitios web: zenmap[.]pro y winmtr[.]org. Aunque este último ya no está en línea, el primero todavía funciona y muestra lo que parece ser un blog falso sobre Zenmap si entras directamente.
Pero el truco está en cómo llegas al sitio. Si accedes a zenmap[.]pro desde los resultados de búsqueda, lo que ves es una copia casi idéntica del sitio oficial de Nmap (Network Mapper). Es decir, todo está diseñado para que parezca legítimo y no sospeches nada.
Sitio web falso de nmap que ofrece instaladores infectados con Bumblebee
Ambos sitios lograron atraer visitas gracias a técnicas de envenenamiento SEO, apareciendo entre los primeros resultados en Google y Bing cuando la gente buscaba términos relacionados.
.webp?width=1468&height=1362&name=winmrt(1).webp)
Resultados de la búsqueda de Google
Al visitar directamente el sitio falso de Zenmap, lo que aparece es una serie de artículos claramente generados por inteligencia artificial. Pero el verdadero problema está en la sección de descargas.
Ahí es donde se ofrecen archivos como "zenmap-7.97.msi" y "WinMTR.msi", que vienen disfrazados de instaladores legítimos. Lo preocupante es que la mayoría de los motores antivirus en VirusTotal ni siquiera detectan estos archivos como maliciosos.
Cuando alguien instala uno de estos programas, sí, se instala la aplicación prometida… pero junto a ella se cuela una DLL maliciosa. Esto es exactamente lo que ya había pasado con RVTools: el instalador incluye un loader de Bumblebee, que se instala silenciosamente en el equipo del usuario.
Una vez adentro, ese loader deja abierta una puerta trasera que los atacantes pueden usar para analizar el sistema, robar datos o soltar cargas útiles aún más peligrosas como ransomware, ladrones de información o cualquier otro tipo de malware.
Y no se han limitado solo a herramientas de red. Esta misma campaña también ha estado dirigida a personas que buscan descargar el software de gestión de cámaras de seguridad Hanwha WisenetViewer. Además, un investigador de Cyjax, descubrió que también están distribuyendo una versión troyanizada de Milestone XProtect, otro software de gestión de vídeo, a través del sitio milestonesys[.]org, que sigue en línea.
Carga de blogs generados con AI en visitas directas (Fuente: BleepingComputer)
Conoce más sobre: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
El sitio oficial de RVTools fuera de línea
Tanto Robware.net como RVTools.com, los sitios oficiales de RVTools, siguen sin ofrecer el instalador para descargar. De hecho, ahora solo muestran una advertencia pidiendo a los usuarios que no descarguen la herramienta desde sitios no oficiales, pero sin dar una alternativa directa o segura.
Esto ocurre después de que se acusara al sitio de estar distribuyendo una versión con malware, algo que Dell Technologies negó rotundamente. Según la empresa, sus sitios no alojaban ninguna versión troyanizada del software.
Dell explicó que los sitios se desconectaron porque estaban siendo blanco de ataques DDoS (denegación de servicio distribuido).
Una posible teoría es que el grupo detrás del malware Bumblebee podría estar detrás de esos ataques. ¿Por qué? Muy simple: si eliminan las fuentes legítimas de descarga, los usuarios que buscan RVTools terminarán cayendo en las trampas de los sitios falsos que ellos controlan.
Para evitar caer en estas trampas, lo mejor que puedes hacer es descargar siempre el software desde fuentes oficiales o repositorios confiables, como administradores de paquetes verificados. Y, si quieres estar aún más seguro, verifica el hash del instalador antes de abrirlo para asegurarte de que no ha sido modificado. Un paso extra que puede ahorrarte muchos problemas.