Falsos updates del navegador impulsan un nuevo malware, según eSentire
La firma de ciberseguridad eSentire advierte que las falsas actualizaciones del navegador han causado numerosas infecciones de malware, incluyendo el conocido malware SocGholish. En abril de 2024, eSentire observó la distribución de FakeBat a través de mecanismos similares de falsas actualizaciones.
El ataque comienza cuando los usuarios visitan un sitio web trampa que redirige a una página falsa de actualización del navegador («chatgpt-app[.]cloud») a través de código JavaScript. Esta página contiene un enlace de descarga de un archivo ZIP («Update.zip») alojado en Discord y descargado automáticamente al dispositivo de la víctima.
eSentire señala que Discord es comúnmente utilizado como vector de ataque, con más de 50,000 enlaces peligrosos descubiertos en los últimos seis meses que distribuyen malware, campañas de phishing y spam.
El archivo ZIP contiene un archivo JavaScript adicional («Update.js») que desencadena la ejecución de secuencias de comandos de PowerShell. Así es como se descargan BitRAT y Lumma Stealer desde un servidor remoto en forma de archivos de imagen PNG junto con secuencias de comandos de PowerShell para establecer persistencia y un cargador basado en .NET. eSentire postula que es probable que el cargador se promocione como un «servicio de entrega de malware» ya que se utiliza para desplegar tanto BitRAT como Lumma Stealer.
BitRAT permite a los atacantes realizar múltiples funciones, incluyendo la recopilación de datos, la minería de criptomonedas y el control remoto de los hosts infectados. Por otro lado, Lumma Stealer, disponible por $250 a $1,000 mensuales desde agosto de 2022, es capaz de capturar información valiosa.
La empresa señala que el engaño de la falsa actualización del navegador se ha vuelto común entre los atacantes y muestra su capacidad para aprovechar nombres de confianza para maximizar el alcance y el impacto.
ReliaQuest recientemente descubrió una nueva variante de la campaña ClearFake que engaña a los usuarios para que ejecuten manualmente código de PowerShell malicioso bajo el pretexto de una actualización del navegador.
Esta nueva variante engaña a los usuarios para que copien, peguen y ejecuten manualmente el código de PowerShell malicioso bajo el pretexto de una actualización del navegador. Una vez ejecutado, este código realiza funciones maliciosas e instala el malware LummaC2.
Según la firma de ciberseguridad, Lumma Stealer emergió como uno de los ladrones de información más prevalentes en 2023, junto con RedLine y Raccoon.
Estos hechos ocurren en un contexto en el que el Centro de Inteligencia de Seguridad de AhnLab (ASEC) dio a conocer una nueva campaña que emplea webhards para distribuir malware como Orcus RAT, XMRig miner, 3proxy y XWorm.
Finalmente, se revela que Silent Push ha descubierto que CryptoChameleon utiliza los servidores de nombres de DNSPod para respaldar su arquitectura de kits de phishing, lo que representa un serio riesgo de ciberseguridad.
Vía The Hacker News
