La firma especializada en ciberseguridad Proofpoint ha alertado de una nueva oleada de ataques que usan pop-ups (ventanas emergentes) en el navegador de Google con las que despistar a los usuarios y hacerles descargar malware en su ordenador, creyendo que están resolviendo un problema que impide acceder a una página.
El funcionamiento es simple: una ventana emergente aparece alertando de un falso error, y le permite al usuario arreglarlo dándole instrucciones para instalar un supuesto certificado root. En realidad, esto abre la puerta a la instalación de malware como infostealers (ladrones de información) en el dispositivo del usuario.
Esta técnica podría lograr más efectividad a la hora de engañar ya que, en lugar de proporcionar un botón o enlace a una web maliciosa, se disfraza de tutorial para el usuario, por lo que algunos pueden creer que es el propio Chrome el que les está indicando como proceder ante el problema.
La ‘gracia’ de esta táctica es que, si el usuario es demasiado inocente y se cree el mensaje que lee en pantalla, procederá a instalar él mismo el contenido malicioso. El pop-up contiene instrucciones con código o scripts que la víctima debe pegar en la terminal de su propio ordenador, en este caso, la Powershell de Windows. Los ciberdelincuentes logran mostrar estas pop-ups mediante ataques de spam o inyecciones en el navegador.
«A los usuarios se les muestra un cuadro de texto emergente que sugiere que se produjo un error al intentar abrir el documento o la página web, y se proporcionan instrucciones para copiar y pegar un script malicioso en la terminal de PowerShell, o en el cuadro de diálogo Ejecutar de Windows para eventualmente ejecutar el script a través de PowerShell», explican desde Proofpoint.
Si el usuario hace caso y ejecuta el código indicado, el virus vacía la caché de DNS, elimina el contenido del portapapeles y muestra un mensaje señuelo al usuario mientras descarga otro script de PowerShell remoto para ejecutar. Luego se descarga un segundo script que descargará a su vez un tercero, que verificará que el entorno no es una máquina virtual y, finalmente, un cuarto script descargará y ejecutará el software malicioso.
Según se ha podido ver, los malwares que se inyectan con esta táctica son DarkGate, Matanbuchus y Lumma Stealer. Este último va orientado al robo de criptomonedas y credenciales a billeteras digitales.
Con todo ello, se trata de una técnica de despliegue de malware algo innovadora por la secuencia de pasos que sigue hasta instalar el malware. «La cadena de ataque es única y se alinea con la tendencia general que Proofpoint ha observado, por la que los actores de amenazas cibercriminales adoptan cadenas de ataque nuevas, variadas y cada vez más creativas«, indican desde la empresa.
A través del spam
Al frente de esta oleada de ataques estaría el actor identificado como TA571, que desde Proofpoint definen como «un distribuidor de spam«, que «envía campañas de correo electrónico de gran volumen para entregar e instalar una variedad de malware para sus clientes ciberdelincuentes, dependiendo de los objetivos posterior del operador».
La original secuencia de instalación del malware se combina con un nuevo intento de ingeniería social, que en este caso «es lo suficientemente inteligente como para presentarle a alguien lo que parece un problema real y una solución simultáneamente, lo que puede incitar al usuario a tomar medidas sin considerar el riesgo».
