- Más de 100 sitios falsificados se hacen pasar por herramientas de seguridad confiables
- La campaña sirve SessionGate, RemusStealer, AnimateClipper
- El objetivo principal parece ser la monetización del tráfico.
Recientemente se ha descubierto una campaña de malware a gran escala que elude herramientas de seguridad de código abierto acreditadas para recaudar ingresos publicitarios y ofrecer malware a desarrolladores e investigadores de seguridad.
La organización de seguridad Check Point Research (CPR) publicó recientemente un informe detallado que detalla la campaña. Al parecer, los actores de amenazas han desarrollado más de 100 herramientas de suplantación de sitios web, como Ghidra, dnSpy y Spiderfoot. Los visitantes eran dirigidos a través de un sistema de distribución de tráfico (TDS) y presentaban múltiples variantes de malware, incluidos SessionGate, RemusStealer y AnimateClipper.
“Lo que hace que esta campaña sea particularmente notable es la elección de la marca: un subconjunto de sitios de alto riesgo se hace pasar por herramientas confiables de ingeniería inversa como Ghidra y dnSpy utilizadas por investigadores de seguridad y analistas de malware”, dice el informe.
Adquisición de tráfico y monetización.
CPR describe SessionGate como un nuevo cargador de múltiples etapas que dificulta mucho la obtención de la carga útil final. RemusStealer es una infostellar de reciente aparición dirigida a navegadores y extensiones, mientras que AnimateClipper es un cortapelos de criptomonedas capaz de secuestrar transacciones en más de 20 cadenas de bloques.
Aunque estos sitios web ofrecen múltiples programas maliciosos, CPR no cree que este sea el objetivo principal. En cambio, cree que el objetivo principal de la campaña es la adquisición de tráfico y la monetización.
“Sin embargo, al incorporar una capa TDS cerrada y canalizar el tráfico de búsqueda hacia ella, los operadores se convierten en parte de una cadena de distribución cuyos clientes posteriores pueden incluir distribuidores de malware”, afirmó CPR. “El mismo canal de tráfico que impulsa la monetización gris también puede hacer que usuarios genuinos utilicen cargas útiles maliciosas”.
Aunque el CPR no precisó cuántas personas se vieron afectadas por el ataque, destacó que la campaña fue a gran escala. Incluye más de 100 sitios web, así como más de 5000 envíos totales a VirusTotal.
Para protegerse contra esta campaña y otras similares, se recomienda a los usuarios que no confíen ciegamente en los resultados de los motores de búsqueda y que tengan cuidado al hacer clic en enlaces, incluso cuando se encuentran en los primeros puestos de Google y otros motores de buena reputación.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
