Una campaña de ataque recientemente descubierta está engañando a los usuarios para que instalen software de acceso remoto en sus sistemas al disfrazar malware como una descarga legítima de Adobe Acrobat Reader. El ataque utiliza una cadena sofisticada de técnicas —incluyendo ejecución en memoria, suplantación de procesos y escalada de privilegios— para desplegar ScreenConnect de ConnectWise sin dejar rastros evidentes en el equipo de la víctima

Una campaña de ataque recientemente descubierta está engañando a los usuarios para que instalen software de acceso remoto en sus sistemas al disfrazar malware como una descarga legítima de Adobe Acrobat Reader.

El ataque utiliza una cadena sofisticada de técnicas —incluyendo ejecución en memoria, suplantación de procesos y escalada de privilegios— para desplegar ScreenConnect de ConnectWise sin dejar rastros evidentes en la máquina de la víctima.

Lo que hace que esta campaña sea particularmente peligrosa es el nivel de confianza que los usuarios depositan en marcas de software conocidas como Adobe. Cuando alguien visita un sitio web y ve un botón de descarga familiar para Adobe Acrobat Reader, la mayoría de las personas hacen clic sin dudar.

Los atacantes detrás de esta campaña han explotado esa confianza por completo. En lugar de entregar un instalador real, la página falsa envía silenciosamente un archivo VBScript altamente ofuscado llamado Acrobat_Reader_V112_6971.vbs directamente al navegador de la víctima. Este único archivo pone en marcha todo el ataque.

Investigadores de Zscaler ThreatLabz identificaron por primera vez esta cadena de ataque en febrero de 2026, rastreándola desde el señuelo inicial hasta el despliegue final de ScreenConnect.

Según la analista de ThreatLabz, Kaivalya Khursale, los atacantes utilizaron múltiples capas de ofuscación y ejecución directa en memoria para reducir la cantidad de artefactos dejados en el disco, lo que dificulta significativamente la detección y el análisis forense para los equipos de seguridad.

La campaña destaca porque weaponiza una herramienta legítima de monitoreo y gestión remota (RMM), una tendencia creciente entre los actores de amenazas que buscan mezclar actividad maliciosa con operaciones normales de TI.

ScreenConnect en sí no es malware. Es una herramienta legítima de escritorio remoto utilizada por administradores de TI en todo el mundo.

Sin embargo, cuando se instala sin el conocimiento del usuario, otorga a los atacantes control remoto completo sobre la máquina comprometida, permitiéndoles robar archivos, desplegar cargas útiles adicionales o mantener persistencia a largo plazo.

Dado que ScreenConnect se comporta como software genuino, muchas soluciones antivirus y de detección y respuesta en endpoints (EDR) no lo marcan, lo que convierte esto en un método de entrega particularmente efectivo.

La página fraudulenta utilizada en esta campaña, alojada en eshareflies[.]im/ad/, imita de cerca el sitio web oficial de Adobe. Una vez que una víctima accede a ella, la descarga comienza automáticamente —sin necesidad de clics adicionales.

El cargador VBScript es el primer archivo malicioso descargado, y a partir de ese momento, el ataque opera casi por completo en memoria para evitar dejar evidencia.

Cómo opera el ataque de principio a fin

El ataque se desarrolla en una serie cuidadosamente ordenada de etapas, cada una diseñada para preparar el terreno para la siguiente. Comienza en el momento en que el archivo VBScript llega al sistema de la víctima.

El cargador VBScript está diseñado para resistir el análisis. En lugar de referenciar objetos del sistema directamente, los construye dinámicamente en tiempo de ejecución utilizando funciones anidadas de reemplazo de cadenas.

Por ejemplo, en lugar de escribir WScript.Shell en texto plano, el cargador ensambla ese nombre a partir de una larga cadena desordenada que solo se resuelve en un valor legible cuando el script se ejecuta realmente.

Este enfoque evita que el nombre aparezca claramente en el archivo, haciendo que las herramientas de escaneo automatizado sean mucho menos efectivas.

El cargador luego ejecuta un comando de seguimiento ensamblado a partir de docenas de llamadas Chr() con expresiones aritméticas, cada una resolviendo un solo carácter ASCII durante la ejecución.

El comando se ejecuta silenciosamente en una ventana oculta, sin indicación visible para la víctima de que algo inusual está sucediendo.

Una vez que el VBScript se activa, lanza PowerShell con -ExecutionPolicy Bypass, permitiendo que los scripts se ejecuten incluso en sistemas con políticas locales restrictivas.

PowerShell luego descarga un archivo desde Google Drive, lo lee completamente en memoria y lo compila como código fuente C# —críticamente, sin escribir nunca el resultado compilado en el disco.

Este es el cargador en memoria, un ensamblado .NET incrustado dentro de una gran matriz de bytes. Al usar reflexión .NET con Assembly.Load(byte[]) y EntryPoint.Invoke(), el cargador ejecuta la siguiente etapa completamente dentro del proceso en ejecución.

Para evadir aún más la detección, el cargador implementa una técnica llamada manipulación del Bloque de Entorno de Proceso (PEB). El PEB es una estructura de memoria de Windows que almacena información sobre un proceso en ejecución, incluyendo su nombre y ruta de archivo.

El cargador sobrescribe estos campos para hacerse pasar por winhlp32.exe —un binario de ayuda de Windows inofensivo. Las herramientas de seguridad y el software de monitoreo en modo usuario que dependen de los metadatos del PEB verán un proceso legítimo en lugar del cargador malicioso.

Además de la suplantación de procesos, los atacantes abusaron de los objetos del Modelo de Objetos Componentes (COM) de Windows con autoelevación para eludir el Control de Cuentas de Usuario (UAC).

Normalmente, UAC mostraría un aviso pidiendo al usuario que apruebe acciones a nivel de administrador.

Al apuntar a identificadores de clase COM específicos que Windows ejecuta automáticamente con privilegios elevados, el cargador obtiene acceso administrativo silenciosamente.

La cadena de elevación de moniker se almacena al revés dentro del código y solo se invierte en tiempo de ejecución, lo que dificulta aún más la detección estática por firma.

Con privilegios elevados completos en mano, se ejecuta la etapa final. Un comando PowerShell, decodificado en tiempo de ejecución, crea el directorio C:\Temp, descarga ScreenConnect.ClientSetup.msi desde x0[.]at/qOfN.msi e instala el software usando msiexec.

Una vez completada la instalación, el atacante obtiene acceso remoto a la máquina de la víctima a través de la infraestructura legítima de ScreenConnect.

Los usuarios deben evitar descargar software desde sitios web no oficiales o desconocidos, incluso si la página parece legítima. Las organizaciones deberían implementar listas blancas de aplicaciones para evitar que se instalen herramientas RMM no autorizadas.

Los equipos de seguridad deben monitorear la ejecución inusual de PowerShell con la bandera -ExecutionPolicy Bypass y alertar sobre instalaciones inesperadas de MSI.

Bloquear el acceso a URLs de alojamiento de archivos no confiables, como las de Google Drive cuando son iniciadas por scripts, también puede reducir la exposición. Se recomienda encarecidamente habilitar soluciones EDR capaces de detectar la manipulación del PEB y la actividad de elusión del UAC basada en COM.