- Una herramienta de fotografías falsas que ocupa un lugar destacado en los resultados de búsqueda engaña a los usuarios para que ejecuten malware mediante trucos de corrección de clics
- Las víctimas primero se infectan con Castleloader, que luego implementa NetSupport RAT y un CastleStealer personalizado.
- La campaña destaca cómo el envenenamiento de SEO y la ingeniería social pueden convertir tareas simples en robo de credenciales y compromiso remoto.
Un sitio web que promete eliminar fondos de las fotos de selfies en realidad está lanzando malware para robar información en las computadoras de las personas, afirman investigadores de seguridad.
Los expertos en ciberseguridad de Huntress describen cómo descubrieron un sitio web que, mediante envenenamiento de SEO, pudo llegar a la cima de las páginas de resultados de los motores de búsqueda. Por lo tanto, cuando las personas buscan herramientas de eliminación de fondo, es muy probable que lleguen a este sitio malicioso en particular.
Cuando suben su foto a este servicio, en realidad no se procesa. No se carga ni se comparte nada de ninguna manera. Sin embargo, el sitio luego solicita al usuario que “verifique que es humano” abriendo el programa Ejecutar de Windows y pegando un comando copiado en su portapapeles.
CastleLoader, CastleStealer y NetSupport RAT
Al estilo típico de ClickFix, los atacantes en realidad pretenden ejecutar el malware en las víctimas, infectando primero sus dispositivos con Castleloader. Es el cargador principal el que se utiliza para entregar carga útil adicional.
Con CastleLoader, los atacantes pueden implementar malware de etapa dos, incluidos NetSupport RAT y CastleStealer.
El primero es un troyano de acceso remoto (RAT) que otorga a los atacantes acceso remoto a los sistemas infectados, mientras que el segundo es un secuestrador .NET personalizado que apunta a las credenciales del navegador, datos de billeteras criptográficas, tokens de Discord y archivos de sesión de Telegram.
“Lo que comenzó cuando alguien intentaba eliminar un posible fondo de una selfie terminó con un ladrón .NET personalizado que revisó la contraseña de su navegador, la bóveda de su billetera criptográfica y su sesión de Telegram, y colocó un NetSupport RAT en el disco para acceso de seguimiento”, explicó Huntress.
Los ataques de Clickfix se pueden mitigar mediante la educación: los usuarios deben saber que ningún servicio legítimo les pedirá que verifiquen que no son un bot con acciones en el dispositivo (por ejemplo, ejecutar un programa localmente). Alternativamente, los administradores pueden desactivar el acceso directo Win + R para Ejecutar, lo que hace menos probable que las víctimas ejecuten código malicioso.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
