Imitando el éxito de las tácticas adoptadas por el antiguo malware SocGholish, los investigadores de Proofpoint han llamado la atención sobre los ciberdelincuentes que emulan cada vez más el señuelo de las actualizaciones falsas del navegador.
En los últimos cinco meses, han surgido tres campañas importantes. Todas utilizan tácticas similares, pero ofrecen cargas útiles únicas.
El temor es que, a pesar de que ahora solo se lanza malware, la proliferación de estas campañas podría ofrecer una ruta eficaz para infectar a los usuarios con ransomware.
Cómo se lleva a cabo el ataque
Cada campaña difiere ligeramente en la forma en que entrega el señuelo y la carga útil de malware, pero tienden a seguir una estructura de tres etapas y todas adaptan su «modus operandi» en función de la máquina y el navegador del usuario.
Vamos a explicarlo de forma muy básica.
- En la primera etapa, se inyecta código malicioso (JavaScript o HTML) en un sitio web legítimo, que queda comprometido.
- Durante esta etapa, se realizan comprobaciones silenciosas en segundo plano, y se sobrescribe el sitio web comprometido con el señuelo de actualización del navegador.
- La tercera etapa es la entrega de la carga útil final en el navegador del objetivo.
Carga útil (Payload) es la parte que contiene el código malicioso responsable de ejecutar las acciones específicas que el creador del malware desea llevar a cabo.
Para dirigir el tráfico desde los sitios web comprometidos a los dominios controlados por el villano se utilizan estos métodos.
RogueRticate/FakeSG: durante la primera etapa inyecta código JavaScript ofuscado en los sitios web y utiliza Keitaro TDS para la entrega de carga útil.
ZPHP/SmartApeSG aprovecha las solicitudes asincrónicas, mientras que ClearFake, emplea scripts codificados en base64 y muestra las falsas actualizaciones en diferentes idiomas.
Una vez conseguido su objetivo, el navegador (Chrome, Firefox o Edge) muestra notificaciones de actualización falsas, que ofrecen software malicioso en lugar de las actualizaciones legítimas.
Por qué el ataque tiene éxito
Básicamente, porque los delincuentes se aprovechan del hecho de que la mayoría de personas confiamos en los dominios (páginas web) conocidos, que visitamos con frecuencia.
Esto expone al usuario desprevenido, al robo de datos, al «control remoto» de su ordenador mediante un troyano de acceso remoto (RAT), o incluso a un ataque de ransomware.
Para evitar ser víctimas de este tipo de ataques, nunca hay que confiar en los avisos que aparecen mientras navegamos por internet, en el sentido de que debemos actualizar nuestro navegador.
Lo mejor es comprobar las últimas versiones de los navegadores desde sus páginas oficiales, o a través de las opciones del propio navegador, desde donde también se pueden activar fácilmente las actualizaciones automáticas.
Y como siempre, hay que mantener actualizado el sistema operativo, ya que los parches de seguridad adicionales pueden ayudar a evitar bastantes ataque de malware.
