Una nueva campaña de malvertising está atacando a usuarios chinos a través de anuncios maliciosos de Google que redirigen a sitios web falsos que ofrecen aplicaciones de mensajería como Telegram y LINE. El informe de Malwarebytes indica que los atacantes están utilizando cuentas de Google Advertiser falsas para crear anuncios maliciosos que dirigen a los usuarios a páginas web que descargan troyanos de administración remota (RAT) en las máquinas de las víctimas, permitiéndoles el control total del equipo y la capacidad de descargar software malicioso adicional. Se sospecha que esta amenaza es una continuación de una ola de ataques anteriores contra usuarios de Hong Kong que buscaban aplicaciones de mensajería en octubre de 2023.
La campaña también ha agregado la aplicación de mensajería LINE a la lista de aplicaciones de mensajería, redirigiendo a los usuarios a sitios web falsos alojados en Google Docs o Google Sites. Los atacantes utilizan la infraestructura de Google para insertar enlaces a otros sitios web, bajo su control, para entregar el archivo instalador malicioso que finalmente implementa troyanos como PlugX y Gh0st RAT. Malwarebytes rastreó los anuncios fraudulentos hasta dos cuentas de publicistas llamadas Interactive Communication Team Limited y Ringier Media Nigeria Limited, que tienen su base en Nigeria. El informe también sugiere que los atacantes dan prioridad a la cantidad sobre la calidad, constantemente empujando nuevos cargadores de malware e infraestructura como comando y control.
Trustwave SpiderLabs informa de un aumento en el uso de una plataforma de phishing llamada Greatness, que crea páginas de robo de credenciales con apariencia legítima destinadas a usuarios de Microsoft 365. Este kit permite la personalización de nombres de remitentes, direcciones de correo electrónico, asuntos, mensajes, archivos adjuntos y códigos QR para mejorar la relevancia y el compromiso de las víctimas. Los kits se venden a otros actores criminales por $120 al mes, lo que reduce efectivamente la barrera de entrada y ayuda a conducir ataques a gran escala.
Los ataques implican el envío de correos electrónicos de phishing que contienen archivos HTML maliciosos que redirigen a los destinatarios a una página de inicio de sesión falsa que captura las credenciales de acceso introducidas y las envía al atacante mediante Telegram. Otras secuencias de infección han utilizado archivos maliciosos adjuntos para descargar malware en la máquina de la víctima y facilitar el robo de información.
Los correos electrónicos falsifican fuentes confiables como bancos y empleadores y utilizan asuntos como «pago de facturas urgente» o «verificación de cuenta urgente» para aumentar la probabilidad de éxito del ataque. La cantidad de víctimas aún se desconoce, pero según Trustwave, la plataforma Greatness es ampliamente utilizada y cuenta con su propia comunidad de Telegram que proporciona información sobre cómo operar el kit, junto con consejos adicionales.
Además, se ha observado que los ataques de phishing han impactado a empresas surcoreanas mediante la suplantación de empresas tecnológicas como Kakao para distribuir AsyncRAT a través de archivos LNK maliciosos de Windows. Estos archivos maliciosos con extensión «.LNK» se distribuyen disfrazados como documentos legítimos y los usuarios pueden confundir el archivo como un documento normal, ya que la extensión no es visible en el nombre del archivo.
