- Los investigadores de SilentPush han descubierto DriveSurge, una campaña de corrección de clics a gran escala
- Se perfila a las víctimas y se les ofrece ClickFix o FakeUpdate
- El acceso se vende posteriormente en la web oscura.
Una campaña en curso de ClickFix ha infectado miles de computadoras con malware de puerta trasera. Eso es según el investigador de seguridad SilentPush, quien dice que los actores de amenazas están vendiendo acceso a la web oscura.
La campaña, llamada DriveSurge, se lanza en sitios web poco seguros, donde los delincuentes inyectan scripts maliciosos. Estos scripts actúan como balizas livianas que pasan los datos de los visitantes a un sistema de distribución de tráfico (TDS) remoto llamado zTDS. Allí, se evalúa al visitante y, si se lo considera un objetivo, le indica al script del servidor zTDS que cargue una superposición de ClickFix.
Los bots y los investigadores reciben páginas web legítimas para evitar ser detectados.
Se han utilizado miles de sitios web.
Dependiendo del perfil, las víctimas pueden recibir ClicFix o FakeUpdates. El objetivo es el mismo: la ejecución varía sólo ligeramente. En ambos casos, a las víctimas se les muestra un problema (por ejemplo, su navegador no está actualizado). En ClickFix, se les ofrece una solución alternativa (copiar y pegar un comando en los programas Ejecutar o Terminal de Windows), mientras que en FakeUpdate, se les entrega directamente un ejecutable que instala el malware.
En ambos casos, las víctimas terminan con una puerta trasera que brinda a los atacantes acceso continuo al sistema del objetivo. Luego lo venden a otros grupos en la web oscura, quienes pueden usarlo para diversas cosas, como exfiltración de datos, robo de identidad, fraude electrónico o ransomware.
No se compartió el número exacto de sitios web aprovechados en esta campaña. Sin embargo, SilentPush dijo que los atacantes comprometieron “miles” de sitios web y que toda la campaña DriveSurge estaba operando a muy gran escala. “Utilizando zTDS, DriveSurge secuestra miles de sitios web legítimos y de alta reputación y redirige silenciosamente a los visitantes al malware, sin que los propietarios del sitio ni sus visitantes lo sepan”, dijo Silent Push en el informe.
Protegerse contra los ataques de ClickFix y FakeUpdates es bastante simple: solo descargue actualizaciones de fuentes confiables y no ejecute una solicitud de sitio web ni pegue comandos en la terminal.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
