Nueva campaña de envenenamiento SEO dirigida a administradores de TI con malware

Varonis revela que los atacantes utilizan envenenamiento SEO para engañar a los administradores de TI y que descarguen malware, además de una vulnerabilidad crítica de acceso raíz en la utilidad AZNFS-mount de Azure que afecta a las cargas de trabajo de HPC/IA. Actualice Azure inmediatamente.

Los investigadores de ciberseguridad de Varonis han emitido advertencias sobre dos amenazas distintas, pero significativas, dirigidas a los administradores de TI y a la infraestructura en la nube. Como señaló Varonis en una entrada de blog publicada el 2 de mayo de 2025, en los últimos dos meses se observa una creciente tendencia de atacantes que utilizan el envenenamiento SEO para engañar a los administradores y que descarguen malware camuflado en herramientas legítimas.

Por otra parte, el 6 de mayo, los laboratorios de amenazas de la empresa informaron sobre una vulnerabilidad crítica en una utilidad de Azure preinstalada que podría permitir a usuarios sin privilegios obtener acceso root completo a los sistemas en la nube.

La campaña de envenenamiento SEO consiste en que ciberdelincuentes manipulan las clasificaciones de los motores de búsqueda para colocar sitios web maliciosos en los primeros resultados de las herramientas comunes de administración de TI. Administradores desprevenidos, creyendo que están descargando software genuino, instalan malware que puede provocar la instalación de puertas traseras como SMOKEDHAM , lo que permite el acceso persistente a los atacantes.

Los miembros del equipo forense de Varonis MDR, Tom Barnea y Simon Biggs, destacaron casos en los que esta técnica condujo a la implementación de software de monitoreo como una versión renombrada de Kickidler ( grabber.exe ), que permite a los atacantes observar en secreto las máquinas infectadas y robar credenciales.

Este acceso inicial a menudo prepara el terreno para la exfiltración de datos, como se vio en un caso en el que los atacantes transfirieron con éxito casi un terabyte de datos fuera de la red, seguido del cifrado de sistemas críticos como los dispositivos ESXi del cliente a cambio de un rescate.

En un descubrimiento separado, pero igualmente preocupante, Varonis Threat Labs, dirigido por el investigador Tal Peleg, identificó una falla crítica en la utilidad AZNFS-mount , una herramienta preinstalada en imágenes de Azure High-Performance Computing (HPC) e Inteligencia Artificial (IA). Esta vulnerabilidad, que afecta a todas las versiones hasta la 2.0.10, podría permitir que un usuario común aumente sus privilegios a root en una máquina Linux.

Según la investigación de Veronis, compartida con Hackread.com, la falla se encuentra en el binario " mount.aznfs ", el cual, debido a permisos incorrectos, podría explotarse para ejecutar comandos arbitrarios con los privilegios de sistema más altos. Al manipular una variable de entorno específica, los atacantes podrían tomar el control total de los sistemas Azure afectados.

Varonis Threat Labs divulgó responsablemente esta vulnerabilidad a Microsoft Azure, que la clasificó como de baja gravedad. Sin embargo, el impacto potencial de obtener acceso root a la infraestructura en la nube es significativo, ya que podría permitir a los atacantes montar almacenamiento adicional, instalar malware y moverse lateralmente dentro de los entornos de nube. Microsoft ha publicado una corrección en la versión 2.0.11 de la utilidad AZNFS-mount.

Aun así, estos hallazgos demuestran que los ciberdelincuentes mejoran constantemente sus tácticas para atacar la infraestructura crítica de TI con mayor eficacia. La campaña de envenenamiento SEO destaca la necesidad de que los profesionales de TI sean más conscientes al descargar herramientas de búsquedas en línea, incluso aquellas que aparecen en los primeros puestos. La vulnerabilidad de la utilidad de Azure enfatiza la importancia de la aplicación oportuna de parches y una configuración cuidadosa de los recursos en la nube.

Varonis aconseja a las organizaciones implementar una estrategia de "Defensa en Profundidad", que incluya capacitación de empleados, seguridad de endpoints, segmentación de red y controles de acceso estrictos, para mitigar estas crecientes amenazas. Se recomienda a los clientes de Azure que utilizan imágenes HPC o NFS para Azure Storage que actualicen su utilidad de montaje AZNFS inmediatamente.