Desde diciembre de 2023, los actores de amenazas han utilizado sitios web falsos que promocionan software de conferencias de vídeo populares, incluyendo Google Meet, Skype y Zoom, para distribuir malware dañino tanto en dispositivos Android como en sistemas operativos Windows. De acuerdo con los expertos de Zscaler ThreatLabz, el actor amenazante está distribuyendo RAT, como SpyNote RAT para Android, y NjRAT y DCRat para Windows.
Los sitios web falsificados, alojados en dominios similares a los sitios reales, utilizan técnicas de «typosquatting» para engañar a los posibles usuarios y descargar el malware. Estos sitios también ofrecen opciones de descarga para plataformas Android, iOS y Windows. Al hacer clic en los botones para descargar la aplicación de Android se descarga un archivo APK, mientras que en el botón de la aplicación de Windows se activa la descarga de un script por lotes.
Este script malicioso es responsable de ejecutar un script de PowerShell, que, a su vez, descarga y ejecuta el troyano de acceso remoto. Aunque actualmente no hay pruebas de que el actor de la amenaza esté atacando a usuarios de iPhone, se sabe que el usuario es redirigido a la lista legítima de Skype en la App Store de Apple al hacer clic en el botón de la aplicación de iOS.
Los expertos advierten que los troyanos de acceso remoto pueden robar información confidencial, registrar pulsaciones de teclas y robar archivos. Este incidente también se produce en medio de una serie de ataques con phishing dirigidos por ciberdelincuentes, como TA4903, que utilizan códigos QR y kits de phishing para superar las protecciones de autenticación de dos factores y robar credenciales corporativas.
La investigación también ha revelado que un nuevo malware, denominado WogRAT, está utilizando una plataforma gratuita de bloc de notas en línea llamada «aNotepad» como vector encubierto para alojar y recuperar código malicioso en sistemas operativos Windows y Linux. Aunque se sabe que el malware está activo desde finales del 2022 y está apuntando a países como China, Hong Kong, Japón y Singapur, entre otros, no se conoce la forma en que se distribuye el malware en libertad.
Los expertos señalan que las cadenas de ataque involucran la búsqueda de información relevante en correos electrónicos comprometidos sobre pagos, facturas e información bancaria, y el objetivo final es secuestrar hilos de correo electrónico existentes y realizar fraude de facturación. Las campañas de phishing también han funcionado como conducto para familias de malware adicionales, como DarkGate, Agent Tesla y Remcos RAT, siendo este último el que utiliza señuelos esteganográficos para dejar caer el malware en equipos comprometidos.
Vía The Hacker News