Un informe reciente revela que las actualizaciones falsas del navegador han provocado múltiples infecciones de malware, incluida la propagación del conocido malware SocGholish. En abril de 2024, se observó la distribución de FakeBat a través de mecanismos similares de actualización falsa.
El ataque empieza cuando los posibles objetivos visitan un sitio web trampa que los redirige a una página de actualización falsa del navegador («chatgpt-app[.]cloud»). Esta página incluye un enlace de descarga a un archivo ZIP («Update.zip») alojado en Discord, que se descarga automáticamente al dispositivo de la víctima.
Cabe destacar que los atacantes a menudo utilizan Discord como vector de ataque, con más de 50,000 enlaces peligrosos descubiertos en los últimos seis meses.
El archivo ZIP contiene un archivo JavaScript adicional («Update.js»), que desencadena la ejecución de scripts de PowerShell responsables de recuperar cargas únicas adicionales de un servidor remoto, como BitRAT y Lumma Stealer, bajo la apariencia de archivos de imagen PNG.
El ataque también recupera scripts de PowerShell para establecer persistencia y un cargador basado en .NET utilizado para lanzar el malware en su etapa final. eSentire sugiere que es probable que el cargador se anuncie como un «servicio de distribución de malware«.
BitRAT es un troyano de acceso remoto que permite a los atacantes recoger datos, minar criptomonedas y tomar control remoto de los equipos infectados. Por otro lado, Lumma Stealer es un malware ladrón de información disponible por suscripción mensual desde agosto de 2022, que facilita la captura de información sensible.
ReliaQuest descubrió un nuevo variante de la campaña ClearFake que engaña a los usuarios para copiar, pegar y ejecutar código malicioso de PowerShell bajo el pretexto de una actualización del navegador.
El sitio web malicioso guía a los visitantes a instalar un certificado raíz para solucionar un supuesto problema siguiendo una serie de pasos, que implica copiar y ejecutar código de PowerShell obfuscado en un terminal.
Según la firma de ciberseguridad, Lumma Stealer se ha convertido en uno de los ladrón de información más prevalentes en 2023, junto con RedLine y Raccoon. Su popularidad se debe a su alta tasa de éxito en infiltrarse en sistemas y extraer datos sin detección.
Además, el AhnLab Security Intelligence Center (ASEC) reveló detalles de una nueva campaña que emplea sitios web para distribuir instaladores maliciosos de juegos y software pirateado, para finalmente desplegar una variedad de malware como Orcus RAT, mineros XMRig, 3proxy y XWorm.
Estos ataques han conducido a la implementación de cargadores de malware como PrivateLoader y TaskLoader, que se ofrecen como un servicio de pago por instalación (PPI) para que otros ciberdelincuentes entreguen sus propias cargas útiles.
También surgieron nuevos hallazgos sobre el «uso casi exclusivo» de DNSPod[.]com de CryptoChameleon para respaldar su arquitectura de kits de phishing. DNSPod, parte de la empresa china Tencent, es conocido por sus servicios para operadores de alojamiento a prueba de balas maliciosos.
Vía The Hacker News
