Atacantes que distribuyen malware bajo la apariencia de …



El enfoque es un giro al antiguo método de usar software package falso, actualizaciones del navegador, dice Kaspersky.

Los cibercriminales pueden ser un grupo innovador cuando se trata de encontrar nuevas formas de distribuir malware.

El último ejemplo es una nueva campaña que implica el uso de una «actualización» de certificado digital falso para tratar de infectar los sistemas de los visitantes de sitios internet previamente comprometidos.

El vendedor de seguridad Kaspersky informó el jueves que sus investigadores habían observado recientemente que los visitantes de varios sitios web eran recibidos con una advertencia sobre el vencimiento del certificado de seguridad del sitio y que habían sido invitados a descargar uno actualizado. Los usuarios que cayeron en la trampa terminaron descargando malware en sus sistemas.

La campaña parece haber comenzado alrededor de mediados de enero y ha impactado a los visitantes de varios sitios net, incluido uno que pertenece a un zoológico y otro a un distribuidor de autopartes. Kaspersky dijo que no está claro de inmediato cómo exactamente los atacantes detrás de la campaña pudieron haber infectado inicialmente estos sitios.

Según Kaspersky, la campaña es la primera que han encontrado sus investigadores donde los atacantes intentan distribuir malware con el pretexto de una actualización de seguridad del sitio internet. El método es un pequeño giro en un enfoque que los atacantes han empleado durante mucho tiempo para ocultar el malware en computer software falso y actualizaciones del navegador e instalaciones de Adobe Flash. Los atacantes han plantado tales actualizaciones en sitios legítimos y han tratado de engañar a los usuarios para que las descarguen bajo varios pretextos, o las han engañado para que naveguen a sitios que alojan actualizaciones maliciosas.

«Las personas son particularmente susceptibles a este tipo de ataque porque aparece en sitios net legítimos, que posiblemente ya hayan visitado», dice Victoria Vlasova, analista de malware de Kaspersky.

En la última campaña, los usuarios de los sitios world wide web infectados reciben una notificación a través de un iframe sobre el hecho de que el certificado de seguridad del sitio no está actualizado. El contenido del iframe proviene de un recurso de terceros y simplemente se superpone en la parte remarkable de la página authentic. Como resultado, la barra de URL aún muestra la dirección legítima del sitio world-wide-web comprometido, Kaspersky dicho en un informe. La superposición de iframe también tiene exactamente el mismo tamaño que la página, por lo que los usuarios no tendrían una manera fácil de acceder al sitio si eligen ignorar la notificación falsa.

Debido a que la dirección que figura en el iframe es, de hecho, la dirección real del sitio world-wide-web, el instinto normal para los usuarios es instalar el certificado recomendado para que puedan ver el contenido que desean, dice Vlasova. «Sin embargo, los usuarios siempre deben ser cautelosos cuando una fuente en línea les pide que descarguen algo», agrega. «Lo más possible es que no sea necesario».

Campaña utilizada para distribuir Mokes y Buerak Malware
En la nueva campaña que observó Kaspersky, los atacantes están distribuyendo Mokes y Buerak, dos piezas de malware previamente conocidas, bajo la apariencia de una actualización de certificado de seguridad.

Mokes es una puerta trasera de hace varios años que se puede usar para descargar otro malware, robar credenciales e interceptar datos que los usuarios pueden ingresar en un formulario world wide web. Según Kaspersky, el malware, conocido por algunos como «Smoke Loader», también se puede usar para instalar código shell en una computadora infectada. Buerak tiene una funcionalidad comparable y se puede usar para propagar otro malware, incluido el software de cripto-minería, ransomware, troyanos de acceso remoto y keyloggers.

«A medida que los incidentes relacionados con la emisión y el despliegue de certificados se vuelven más conocidos y convencionales, los atacantes tienen una vía más para usar en la creación de ataques que aprovechen los esfuerzos de ingeniería social», dijo Pratik Savla, ingeniero de seguridad de Venafi. «Desafortunadamente, y como period de esperar, estamos obligados a ver un aumento de este tipo de campaña».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más ideas





Enlace a la noticia authentic