Proxyware Malware: Cómo hackers disfrazan instalaciones legítimas para secuestrar tu ancho de banda

Por: Fecha de publicación:

Una campaña sofisticada de malware está afectando principalmente a usuarios de Windows en Corea del Sur y otras regiones, en la que los atacantes disfrazan software malicioso como herramientas confiables como Notepad++, AutoClicker o utilidades populares para engañar a las víctimas y apoderarse de su ancho de banda de internet sin consentimiento. Este tipo de malware, conocido como proxyware malicioso, infiltra sistemas y monetiza el tráfico de red de los equipos infectados en beneficio de los ciberdelincuentes. (GBHackers)

¿Qué es el proxyware y por qué es peligroso?

El término proxyware se refiere a programas que permiten a los usuarios vender su ancho de banda de internet para ser utilizado por otros. En su forma legítima, las plataformas de proxyware compensan a los usuarios por compartir su conexión de internet con empresas que necesitan rotar direcciones IP, mejorar pruebas de red o acceder a regiones específicas. (Wikipedia)

Sin embargo, cuando este software se instala sin consentimiento y con fines maliciosos, se convierte en una amenaza conocida como proxyjacking. En estos casos:

  • La conexión de internet del usuario se utiliza sin permiso.

  • Todo el beneficio generado por ese ancho de banda va directamente a los atacantes.

  • El rendimiento de la red se degrada y puede abrir puertas para otros ataques. (ASEC)

Este método de ataque tiene similitudes con el cryptojacking, donde los ciberdelincuentes utilizan los recursos de hardware para minar criptomonedas. En cambio, en el caso del proxyware malicioso, se aprovecha la capacidad de red del sistema para monetizarla sin el conocimiento de la víctima. (GBHackers)

La campaña actual: cómo los atacantes distribuyen proxyware

Los investigadores de seguridad han identificado que el actor de amenazas Larva-25012 está detrás de esta oleada de ataques. El grupo ha perfeccionado su estrategia y ha cambiado la forma en que entrega el malware para evadir las defensas tradicionales. (ASEC)

Métodos de distribución

Los atacantes utilizan varias técnicas para engañar a los usuarios:

1. Instaladores falsos disfrazados de software legítimo.
Los paquetes maliciosos se presentan como instaladores de herramientas populares como Notepad++, AutoClicker, FastCleanPlus o WinMemoryCleaner. Estas descargas pueden aparecer en páginas que simulan ser portales de software gratuitos o pirata. (Cyber Security News)

2. Archivos MSI o ZIP que contienen malware oculto.
El contenido descargado puede venir en forma de archivo .MSI o .ZIP que contiene tanto componentes legítimos como DLL maliciosas que no son evidentes para el usuario. (GBHackers)

3. Hospedaje en repositorios comprometidos.
Los archivos de instalación se alojan en repositorios como GitHub, lo que hace que parezcan más confiables y, por tanto, es menos probable que los detecten soluciones de seguridad básicas. (ASEC)

¿Cómo opera el malware una vez ejecutado?

Una vez que la víctima ejecuta el instalador malicioso:

Persistencia en el sistema

El malware crea tareas programadas en el Programador de tareas de Windows con nombres como “Notepad Update Scheduler”, “Microsoft Anti-Malware Tool” o similares, permitiendo que el código malicioso se ejecute automáticamente cada vez que la computadora se inicia. (Cyber Security News)

Inyección en procesos legítimos

El código malicioso puede inyectar instrucciones dentro de procesos legítimos, como Windows Explorer (explorer.exe), para camuflar su actividad y evadir detecciones. (ASEC)

Carga de proxyware para monetizar ancho de banda

El malware, actuando a través de módulos como DigitalPulse o Infatica, habilita un cliente proxyware en el sistema, conectándolo a una red de terceros. Esto permite a los atacantes compartir tu ancho de banda y obtener ingresos de este tráfico sin que el usuario lo note. (GBHackers)

Comunicación con servidores de control

Los componentes maliciosos del malware pueden comunicarse con servidores de comando y control (C&C), permitiendo a los atacantes actualizar el software, cambiar módulos o desplegar otra clase de ataques según convenga. (GBHackers)

Riesgos de este tipo de malware

Los problemas que puede causar el malware proxyware incluyen:

  • Pérdida de rendimiento de internet, ya que tu ancho de banda se comparte con terceros. (GBHackers)

  • Potencial abusivo de tu IP, que podría usarse para actividades cuestionables, afectando tu reputación online. (Wikipedia)

  • Exposición a otros tipos de malware si el actor decide usar el acceso para cargar amenazas adicionales. (ASEC)

  • Dificultad para detectar la infección, dado que los métodos de evasión incluyen procesos legítimos y persistencia sofisticada. (Cyber Security News)

Cómo protegerte y mitigar esta amenaza

Para evitar ser víctima de campañas de proxyware malicioso, se recomienda:

Descargar software solo de fuentes oficiales

Evita instalar aplicaciones desde sitios no oficiales, portales de “software gratis” o anuncios sospechosos que prometen descargas rápidas. (ASEC)

Revisión de tareas programadas

Verifica periódicamente el Programador de tareas de Windows en busca de entradas inusuales como “Notepad Update Scheduler” o nombres similares que no reconozcas. (Cyber Security News)

Monitoreo de tráfico de red

Las organizaciones deberían monitorear el uso de ancho de banda para detectar picos inusuales o conexiones hacia IPs no autorizadas. (ASEC)

Soluciones avanzadas de seguridad

Implementar EDR (Endpoint Detection and Response) y otras herramientas de seguridad avanzada que detecten inyecciones de procesos o actividades anómalas en memoria. (GBHackers)

El malware Proxyware representa una amenaza creciente en la escena de la ciberseguridad, donde los atacantes ya no solo buscan robar datos o minar criptomonedas, sino monetizar tus recursos de red sin que lo notes. Aprovechando técnicas avanzadas de distribución y evasión, como inyección en procesos legítimos y persistencia mediante tareas programadas, estos ataques pueden pasar desapercibidos durante mucho tiempo si no se implementan las defensas adecuadas. (Cyber Security News)

Proteger tus dispositivos exige descargar software únicamente de fuentes de confianza, monitorear actividad inusual y contar con herramientas de seguridad modernas y configuradas adecuadamente. (ASEC)

🏷️ Fuente de la información

Este artículo se basa en el reporte original publicado por gbhackers:

“Proxyware Malware Masquerades as Notepad++ to Hijack Systems via Windows Explorer”

Disponible en: https://gbhackers.com/proxyware-malware/



Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más