Una firma de ciberseguridad llamada eSentire descubrió que las actualizaciones falsas de navegadores han provocado numerosas infecciones de malware, incluido el conocido malware SocGholish. En un nuevo informe, la empresa indicó: «En abril de 2024, observamos la distribución de FakeBat a través de mecanismos similares de actualización falsa».
El ataque comienza cuando los posibles objetivos visitan un sitio web que contiene un código JavaScript diseñado para redirigir a los usuarios a una página falsa de actualización de navegador («chatgpt-app[.]cloud»).
La página web redirigida incluye un enlace de descarga a un archivo ZIP («Update.zip») alojado en Discord y descargado automáticamente al dispositivo de la víctima.
Es importante señalar que los actores de amenazas suelen utilizar Discord como vector de ataque, con un análisis reciente de Bitdefender que descubrió más de 50,000 enlaces peligrosos que distribuían malware, campañas de phishing y spam en los últimos seis meses.
Dentro del archivo ZIP se encuentra otro archivo JavaScript («Update.js»), que activa la ejecución de scripts de PowerShell responsables de recuperar cargas adicionales, incluyendo BitRAT y Lumma Stealer, desde un servidor remoto en forma de archivos de imagen PNG.
También se recuperan en este proceso scripts de PowerShell para establecer persistencia y un cargador basado en .NET que se utiliza principalmente para lanzar el malware de etapa final. eSentire planteó que es probable que el cargador se anuncie como un «servicio de entrega de malware» debido a que se utiliza para implementar tanto BitRAT como Lumma Stealer.
BitRAT es un RAT con numerosas funciones que permite a los atacantes recopilar datos, extraer criptomonedas, descargar más binarios y tomar el control remoto de los sistemas infectados. Lumma Stealer, un malware ladronzuelo disponible por entre $250 y $1,000 al mes desde agosto de 2022, ofrece la capacidad de capturar información de navegadores web, monederos de criptomonedas y otros detalles sensibles.
La empresa declaró que «el señuelo de la falsa actualización del navegador se ha vuelto común entre los atacantes como un medio de entrada a dispositivos o redes», y agregó que «muestra la capacidad del operador para aprovechar nombres de confianza para maximizar el alcance y el impacto». Mientras que este tipo de ataques suele aprovechar descargas no deseadas y técnicas de mal publicidad, ReliaQuest, en un informe publicado la semana pasada, informó haber descubierto una nueva variante de la campaña ClearFake que engaña a los usuarios para que copien, peguen y ejecuten manualmente código malicioso de PowerShell bajo el pretexto de una actualización del navegador.
Específicamente, el sitio web malicioso afirma que «algo salió mal al mostrar esta página web» e instruye al visitante del sitio a instalar un certificado raíz para solucionar el problema siguiendo una serie de pasos, que implica copiar código de PowerShell obfuscado y ejecutarlo en un terminal de PowerShell.
«Tras la ejecución, el código de PowerShell realiza múltiples funciones, que incluyen borrar la caché DNS, mostrar un cuadro de mensaje, descargar más código de PowerShell e instalar el malware ‘LummaC2‘», dijo la empresa.
Según la información compartida por la firma de ciberseguridad, Lumma Stealer surgió como uno de los ladronzuelos de información más prevalentes en 2023, junto con RedLine y Raccoon. «El número de registros de LummaC2 obtenidos para su venta aumentó un 110% desde el tercer trimestre al cuarto trimestre de 2023″, señaló. «La creciente popularidad de LummaC2 entre los adversarios probablemente se debe a su alto índice de éxito, lo que hace referencia a su efectividad para infiltrar sistemas y extraer datos sensibles sin ser detectado».
En otra línea, el AhnLab Security Intelligence Center (ASEC) desveló detalles de una nueva campaña que utiliza webhards como conducto para distribuir instaladores maliciosos de juegos para adultos y versiones pirateadas de Microsoft Office, y finalmente despliega una variedad de malware como Orcus RAT, minero XMRig, 3proxy y XWorm.
Cadenas de ataque similares que involucran sitios web que ofrecen software pirateado han llevado a la implementación de cargadores de malware como PrivateLoader y TaskLoader, que se ofrecen como un servicio de pago por instalación (PPI) para que otros ciberdelincuentes entreguen sus propias cargas útiles.
Además, sigue los nuevos hallazgos de Silent Push sobre el «casi uso exclusivo» de DNSPod[.]com por parte de CryptoChameleon para respaldar su arquitectura de kit de phishing. DNSPod, parte de la empresa china Tencent, tiene un historial de brindar servicios a operadores de alojamiento a prueba de balas maliciosos.
«CryptoChameleon usa los servidores de nombres de DNSPod para utilizar técnicas de evasión de cambio rápido que permiten a los actores de amenazas cambiar rápidamente a través de grandes cantidades de direcciones IP vinculadas a un solo nombre de dominio», indicó la empresa. «El cambio rápido permite que la infraestructura de CryptoChameleon evite las contramedidas tradicionales y reduzca significativamente el valor operativo de los indicadores de compromiso obsoletos en el tiempo».
Vía The Hacker News
