La popularidad de Brasil FOTO El sistema de pago instantáneo lo ha convertido en un objetivo lucrativo para los actores de amenazas que buscan generar ganancias ilícitas utilizando un nuevo malware llamado GoPIX.
Kaspersky, que ha estado rastreando la campaña activa desde diciembre de 2022, dijo que los ataques se llevan a cabo mediante anuncios maliciosos que se muestran cuando las víctimas potenciales buscan «WhatsApp web» en los motores de búsqueda.
«Los ciberdelincuentes utilizan publicidad maliciosa: sus enlaces se colocan en la sección de anuncios de los resultados de búsqueda, para que el usuario los vea primero», afirmó el proveedor ruso de ciberseguridad. dicho. «Si hacen clic en dicho enlace, se produce una redirección y el usuario termina en la página de inicio del malware».
Como se observó recientemente en otras campañas de publicidad maliciosa, los usuarios que hagan clic en el anuncio serán redirigidos a través de un servicio de encubrimiento destinado a filtrar entornos aislados, bots y otros que no se consideran víctimas genuinas.
Esto se logra mediante el uso de una solución legítima de prevención de fraude conocida como Puntuación de calidad IP para determinar si el visitante del sitio es un humano o un robot. A los usuarios que pasan la verificación se les muestra una página de descarga de WhatsApp falsa para engañarlos y que descarguen un instalador malicioso.
En un giro interesante, el malware se puede descargar desde dos URL diferentes dependiendo de si el puerto 27275 está abierto en la máquina del usuario.
«Este puerto lo utiliza el software de banca segura Avast», explicó Kaspersky. «Si se detecta este software, se descarga un archivo ZIP que contiene un archivo LNK que incorpora un script de PowerShell ofuscado que descarga la siguiente etapa».
Si se cierra el puerto, el paquete de instalación de NSIS se descarga directamente. Esto indica que la barrera de seguridad adicional está configurada explícitamente para eludir el software de seguridad y distribuir el malware.
El objetivo principal del instalador es recuperar e iniciar el malware GoPIX utilizando una técnica llamada proceso de vaciado iniciando el svchost.exe Proceso del sistema Windows en estado suspendido e inyectando la carga útil en él.
GoPIX funciona como un malware ladrón de portapapeles que secuestra las solicitudes de pago de PIX y las reemplaza con una cadena de PIX controlada por el atacante, que se recupera de un servidor de comando y control (C2).
«El malware también admite la sustitución de direcciones de billetera Bitcoin y Ethereum», dijo Kaspersky. «Sin embargo, estos están codificados en el malware y no se recuperan del C2. GoPIX también puede recibir comandos C2, pero sólo están relacionados con la eliminación del malware de la máquina».
Esta no es la única campaña dirigida a usuarios que buscan aplicaciones de mensajería como WhatsApp y Telegram en motores de búsqueda.
En una nueva serie de ataques concentrados en la región de Hong Kong, se descubrió que anuncios falsos en los resultados de búsqueda de Google redirigen a los usuarios a páginas similares fraudulentas que instan a los usuarios a escanear un código QR para vincular sus dispositivos.
«El problema aquí es que el código QR que estás escaneando proviene de un sitio malicioso que no tiene nada que ver con WhatsApp», Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, dicho en un informe del martes.
Como resultado, el dispositivo del atacante se vincula a las cuentas de WhatsApp de la víctima, lo que le otorga al atacante acceso completo a sus historiales de chat y contactos guardados.
Malwarebytes dijo que también descubrió una campaña similar que utiliza Telegram como señuelo para atraer a los usuarios a descargar un instalador falso de una página de Google Docs que contiene malware inyector.
El desarrollo se produce cuando Proofpoint reveló que una nueva versión del Troyano bancario brasileño Apodado Grandoreiro apunta a víctimas en México y España, describiendo la actividad como «inusual en frecuencia y volumen».
La empresa de seguridad empresarial tiene atribuido la campaña a un actor de amenazas al que rastrea como TA2725, que es conocido por utilizar malware bancario brasileño y phishing para identificar varias entidades en Brasil y México.
El objetivo de España apunta a una tendencia emergente en la que el malware centrado en América Latina está poniendo cada vez más su mirada en Europa. A principios de mayo, SentinelOne descubrió una campaña de larga duración emprendida por un actor de amenazas brasileño para atacar a más de 30 bancos portugueses con malware ladrón.
Mientras tanto, los ladrones de información están floreciendo en la economía del cibercrimen, y los autores de crimeware inundan el mercado clandestino con ofertas de malware como servicio (MaaS) que brindan a los ciberdelincuentes un medio conveniente y rentable para realizar ataques.
Es más, estas herramientas reducen la barrera de entrada para los aspirantes a actores de amenazas que pueden carecer de experiencia técnica.
El último en unirse al ecosistema de ladrones es Lumar, que fue anunciado por primera vez por un usuario llamado Collector en foros de cibercrimen en julio de 2023, comercializando sus capacidades para capturar sesiones de Telegram, recopilar cookies y contraseñas del navegador, recuperar archivos y extraer datos de billeteras criptográficas.
«A pesar de tener todas estas funcionalidades, el malware es relativamente pequeño en términos de tamaño (sólo 50 KB), lo que se debe en parte al hecho de que está escrito en C», señaló Kaspersky.
«El malware emergente a menudo se anuncia en la web oscura entre delincuentes menos hábiles y se distribuye como MaaS, lo que permite a sus autores enriquecerse rápidamente y poner en peligro a las organizaciones legítimas una y otra vez».