Desmantelan AVCheck: servicio usado por ciberdelincuentes para evadir antivirus

Una operación internacional de las fuerzas del orden ha desmantelado AVCheck, una plataforma clandestina utilizada por ciberdelincuentes para probar malware contra antivirus comerciales. Esta herramienta permitía a los actores maliciosos comprobar si su código malicioso era detectable por soluciones de seguridad antes de lanzarlo en ataques reales.

El dominio principal del servicio, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, muestra ahora una pancarta de incautación oficial con los emblemas del Departamento de Justicia de EE. UU., el FBI, el Servicio Secreto y la Policía Nacional de los Países Bajos (Politie), lo que confirma el éxito de la operación.

¿Qué era AVCheck y por qué era tan peligroso?

AVCheck funcionaba como un servicio de verificación antivirus (CAV), y era una de las plataformas más grandes a nivel global para la evaluación de malware antes de su distribución. Permitía a los atacantes cargar sus archivos maliciosos y verificar si eran detectados por los antivirus más populares, ajustando sus programas hasta alcanzar un nivel óptimo de evasión.

Citar"Desconectar AVCheck marca un paso importante en la lucha contra el cibercrimen organizado", declaró Matthijs Jaspers de la policía neerlandesa.
"Con esta acción, interrumpimos a los ciberdelincuentes en una fase temprana y prevenimos que haya más víctimas".

Enlace con servicios de cifrado maliciosos

La investigación reveló vínculos entre los administradores de AVCheck y servicios de cifrado especializados en malware, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (ya incautado) y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (actualmente fuera de línea). Estos servicios de ofuscación permiten a los atacantes cifrar sus cargas útiles maliciosas para evitar su detección por antivirus.

Este modus operandi forma parte de un ciclo común entre los cibercriminales:

• Ofuscan su malware mediante un servicio de cifrado.
• Lo prueban en plataformas CAV como AVCheck.
• Ajustan el código hasta hacerlo indetectable.
• Lo despliegan contra sus objetivos.

Tácticas encubiertas y cooperación internacional

Antes de la incautación definitiva, las autoridades desplegaron una página de inicio de sesión señuelo para advertir a los usuarios sobre las consecuencias legales del uso del servicio. Posteriormente, el Departamento de Justicia de EE. UU. confirmó que el 27 de mayo de 2025, AVCheck fue oficialmente desmantelado como parte de una operación mayor.

Citar"Los ciberdelincuentes no solo crean malware; lo perfeccionan para causar el máximo daño", afirmó Douglas Williams, agente especial del FBI.
"Gracias a estos servicios, los atacantes logran evadir firewalls, el análisis forense y comprometer sistemas críticos con precisión devastadora".

La operación fue posible gracias a agentes encubiertos que realizaron compras simuladas de servicios en las plataformas delictivas. Esta táctica permitió recabar evidencia suficiente para asociar AVCheck y sus operadores con ataques de ransomware dirigidos a víctimas en Estados Unidos y otras regiones, incluyendo el área de Houston.

Operación Endgame: golpe coordinado contra el ecosistema del ransomware
La eliminación de AVCheck forma parte de la Operación Endgame, una ofensiva policial internacional a gran escala que ha confiscado recientemente:

• 300 servidores
• 650 dominios web

Todos utilizados para facilitar actividades de ransomware, distribución de malware y servicios de apoyo como pruebas antivirus o cifrado malicioso.

Además de AVCheck, la operación también logró interrumpir herramientas ampliamente utilizadas por delincuentes, como los troyanos Danabot y Smokeloader, dos amenazas persistentes asociadas a campañas de malware financiero y robo de credenciales.

Un avance clave en la lucha contra el cibercrimen

La caída de AVCheck representa un paso decisivo para debilitar las capacidades técnicas de los actores de amenazas que dependen de servicios externos para perfeccionar su malware. Esta acción internacional refuerza el mensaje de que las infraestructuras criminales, aunque sofisticadas, no son invulnerables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta