Una campaña de distribución de malware organizada y altamente dinámica ha estado aprovechando miles de sitios web pirateados para redirigir a los usuarios a páginas web que venden falsas actualizaciones de software en un intento de infectarlos con malware
Según Jerome Segura, investigador de Malwarebytes que analizó múltiples cadenas de infección para armar el esquema más grandioso, esta campaña comenzó hace cuatro meses, en diciembre de 2017.
Segura llamó a la campaña "FakeUpdates" porque todos los sitios maliciosos redireccionarían a los usuarios a páginas web que albergan paquetes de actualización para varios tipos de software, generalmente Google Chrome, Mozilla Firefox, Internet Explorer o Adobe Flash Player.
Los estafadores detrás de esta campaña confían en los sitios web pirateados para secuestrar el tráfico legítimo de las páginas de actualización falsas.
Segura dice que observó la mayoría del tráfico proveniente de sitios pirateados de WordPress, Joomla y Squarespace, pero el investigador de Malwarebytes también dice que detectó delincuentes aprovechando otras plataformas CMS, generalmente las que tienen versiones obsoletas que eran vulnerables a los ataques.
La forma en que los delincuentes secuestraron el tráfico de estos sitios fue inyectando código JavaScript dentro de los archivos JS existentes en el sitio o cargando un nuevo archivo JS con el sitio.
La función de este código JS malicioso era llevar al usuario a través de una serie de redireccionamientos automatizados hasta que aterrizó en otros sitios web pirateados donde los ladrones alojaban la página con el paquete de actualización falso.
Falsa actualización de redirección
Las actualizaciones falsas entregan troyanos bancarios RAT
Los usuarios engañados para descargar los paquetes de actualización falsos no recibieron un archivo EXE, sino otro script JS, generalmente alojado en un enlace de Dropbox. La ejecución del script JS descargaría e instalaría la carga útil final del malware.
Segura dice que durante sus pruebas, el malware que recibió fue el troyano bancario Chthonic, pero otros informes también describen la campaña FakeUpdates que elimina el troyano de acceso remoto (RAT) de NetSupport.
"El archivo 'cebo' consiste en un guión en lugar de un ejecutable malicioso, lo que les da a los atacantes la flexibilidad para desarrollar técnicas interesantes de ofuscación y toma de huellas dactilares", explica Segura.
FakeUpdates es una evolución en campañas pasadas
Con la caída de los principales kits de explotación, los delincuentes han recurrido a la creación de botnets gigantes de sitios pirateados y al uso de sistemas de distribución de tráfico para canalizar tráfico legítimo desde estos sitios a páginas maliciosas.
Durante el año 2017, la mayor parte de este tráfico secuestrado se ha destinado a las llamadas páginas web de "ingeniería social", una clase de ataques que incluyen estafas de asistencia técnica clásicas y casilleros de navegadores (tipo ransomware), pero también sitios que aprovechan la "actualización falsa".
El truco de la actualización falsa es un viejo truco que volvió a ser popular nuevamente el año pasado, a medida que los kits de exploits comenzaron a perder su popularidad. Pero antes de que se creara la campaña FakeUpdates, primero teníamos sitios web que intentaban engañar a los usuarios para que descargaran los paquetes de fuentes faltantes, una variación del truco de la "actualización falsa".
A medida que avanzaba el año, hacia fines de 2017, la verdadera actualización "falsa" se fortaleció, con informes de campañas aprovechando publicidad maliciosa de Yahoo , sitios Magento pirateados y repositorios GitHub para engañar a los usuarios a descargar e instalar falsificaciones con código malicioso. actualizaciones ".
La campaña FakeUpdates es el resultado de más ciberdelincuentes que saltan sobre esta tendencia de distribución de malware más reciente, refinando las técnicas existentes y construyendo infraestructura en proporciones masivas a medida que pasa el tiempo.
A medida que FakeUpdates se hizo más grande, también dejó más evidencia de que investigadores de seguridad como Segura podrían armar y desmitificar su modus operandi. Y con un mayor conocimiento de cómo funciona esta campaña, el software de seguridad web y de escritorio ahora se puede actualizar para contrarrestar los intentos de ataque.
Fecha actualización el 2021-04-12. Fecha publicación el 2018-04-12. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer