El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de malware en la que se compran anuncios engañosos para que aparezcan en los resultados de búsqueda de Google y que conducen a la descarga de instaladores troyanizados. Los atacantes desconocidos crearon sitios web falsos con una apariencia idéntica a la de Firefox, WhatsApp o Telegram, pero además de proporcionar el software legítimo, también descargan FatalRAT, un troyano de acceso remoto (RAT, por sus siglas en inglés) que otorga al atacante el control de la computadora comprometida.
Puntos clave de esta publicación:
- Los
atacantes compraron anuncios para posicionar sus sitios web maliciosos en
la sección “patrocinada” de los resultados de búsqueda de Google. Desde
ESET se informó de estos anuncios a Google y se eliminaron de inmediato.
- Los sitios
web y los instaladores descargados de estos sitios están en su mayoría en
chino y, en algunos casos, ofrecen falsas versiones de software que no
está disponible.
- Se observaron
ataques entre agosto de 2022 y enero de 2023, pero según la telemetría de
ESET, se han utilizado versiones anteriores de los instaladores desde al
menos mayo de 2022.
- Ninguno de
los programas maliciosos o la infraestructura de red utilizada en esta
campaña se ha asociado con actividades conocidas de ningún grupo
mencionado, por lo que, por ahora, no se ha atribuido esta actividad a
ningún grupo conocido.
La descripción general de la campaña muestra una cadena
de múltiples componentes que finalmente instala el malware FatalRAT , que fue descrito
por los investigadores de AT&T (@attcyber)
en agosto de 2021.
Los atacantes registraron varios nombres de dominio
que apuntaban a la misma dirección IP: un servidor que aloja varios sitios web
que descargan programas troyanizados. Algunos de estos sitios web se ven
idénticos a los sitios legítimos cuya identidad es suplantada, pero en su lugar
ofrecen instaladores maliciosos.
ESET observó sitios web maliciosos e instaladores para
las siguientes aplicaciones, aproximadamente en orden de popularidad:
- Chrome
- Firefox
- Telegram
- WhatsApp
- Line
- Signal
- Skype
- Billetera de Bitcoin Electrum
- Sogou Pinyin Method
- Youdao, una app de traducción y diccionario
- WPS Office, una
suite de office gratuita
Aparte de electrumx[.]org, un sitio web falso en
inglés para la billetera Electrum Bitcoin, todos los demás sitios web están en
chino, lo que sugiere que los atacantes están interesados principalmente en
personas que hablan esta lengua.
“Si bien, en teoría, hay muchas
formas posibles de que las potenciales víctimas sean dirigidas a estos sitios
web falsos, un sitio de noticias
informó (versión en inglés aquí) que se estaban desplegando anuncios que
conducían a uno de estos sitios web maliciosos cuando buscaban el navegador
Firefox en Google. No pudimos reproducir dichos resultados de búsqueda, pero
creemos que los anuncios solo se mostraron a los usuarios de la región
objetivo. Tenemos un ejemplo (imagen de la publicación original anterior).
Informamos los sitios web a Google y los anuncios fueron eliminados”, comentan desde el equipo de Investigación de ESET.
- Registrar
las pulsaciones del teclado
- Cambiar la
resolución de pantalla de la víctima
- Terminar
los procesos del navegador y robar o eliminar datos almacenados en ellos.
Los navegadores objetivo son:
- Chrome
- Firefox
- QQ
- Sogou Explorer
- Descargar y
ejecutar un archivo
- Ejecutar
comandos de Shell
Según ESET, los atacantes se han esforzado para que
los nombres de dominio de los sitios web falsos sean lo más similares posible a
los nombres oficiales. En la mayoría de los casos los sitios web falsos son
copias idénticas de los sitios legítimos. En cuanto a los instaladores
troyanizados, los mismos instalan la aplicación real que el usuario estaba
buscando, evitando sospechas de un posible compromiso en la máquina de la
víctima. “Por todas estas razones, vemos cuán importante es verificar
cuidadosamente la URL que estamos visitando antes de descargar el software. Es
recomendable que luego de verificar que un sitio web es real escribirlo
directamente en la barra de direcciones del navegador”, aconsejan desde el
equipo de ESET.
Dado que el malware utilizado en esta campaña,
FatalRAT, contiene varios comandos que permiten al atacante manipular datos de
diferentes navegadores, y que los datos de las víctimas muestra que no parecen
estar enfocados en un tipo de usuario en particular, cualquiera puede verse
afectado. Según ESET es posible que los atacantes estén únicamente interesados
en el robo de información, como credenciales web, para venderlas en foros
clandestinos, o en usar esta información para otro tipo de campaña maliciosa
son fines económicos, pero por ahora la atribución específica de esta campaña a
un actor de amenazas conocido o nuevo es imposible.