Los actores de amenazas están aprovechando páginas web falsas de Google Meet como parte de una campaña de malware en curso denominada Hacer clic en arreglar para entregar ladrones de información dirigidos a sistemas Windows y macOS.
“Esta táctica implica mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios para que copien y ejecuten un código PowerShell malicioso determinado, infectando finalmente sus sistemas”, dijo la empresa francesa de ciberseguridad Sekoia. dicho en un informe compartido con The Hacker News.
En los últimos meses se han informado ampliamente sobre variaciones de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking), con actores de amenazas que emplean diferentes señuelos para redirigir a los usuarios a páginas falsas que tienen como objetivo implementar malware instando a los visitantes del sitio a ejecutar un código PowerShell codificado para abordar un Supuesto problema con la visualización de contenido en el navegador web.
Se sabe que estas páginas se hacen pasar por servicios en línea populares, incluidos Facebook, Google Chrome, PDFSimpli y reCAPTCHA, y ahora Google Meet y potencialmente Zoom.
- Meet.google.us-únete[.]com
- Meet.googie.com-unirse[.]a nosotros
- Meet.google.com-unirse[.]a nosotros
- Meet.google.web-unirse[.]com
- Meet.google.webjoining[.]com
- Meet.google.cdm-unirse[.]a nosotros
- Meet.google.us07host[.]com
- conductoresgoogi[.]com
- us01web-zoom[.]a nosotros
- us002webzoom[.]a nosotros
- web05-zoom[.]a nosotros
- zoom de sala web[.]a nosotros
En Windows, la cadena de ataque culmina con el despliegue de los ladrones StealC y Rhadamanthys, mientras que los usuarios de Apple macOS reciben un archivo de imagen de disco con trampa (“Launcher_v1.94.dmg”) que arroja otro ladrón conocido como Atomic.
Esta táctica emergente de ingeniería social se destaca por el hecho de que evade hábilmente la detección por parte de las herramientas de seguridad, ya que implica que los usuarios ejecuten manualmente el comando malicioso de PowerShell directamente en el terminal, en lugar de ser invocado automáticamente mediante una carga útil descargada y ejecutada por ellos.
Sekoia ha atribuido el grupo que se hace pasar por Google Meet a dos grupos de traficantes, a saber, Slavic Nation Empire (también conocido como Slavice Nation Land) y Scamquerteo, que son subequipos dentro de markopolo y CryptoLove, respectivamente.
“Ambos equipos de traficantes […] “Utiliza la misma plantilla ClickFix que se hace pasar por Google Meet”, dijo Sekoia. “Este descubrimiento sugiere que estos equipos comparten materiales, también conocido como ‘proyecto de aterrizaje’, así como infraestructura”.
Esto, a su vez, ha planteado la posibilidad de que ambos grupos de amenazas estén haciendo uso del mismo servicio de cibercrimen, aún desconocido, y que probablemente un tercero administre su infraestructura.
El desarrollo se produce en medio del surgimiento de campañas de malware distribuyendo el código abierto truenokitty ladrónque comparte superposiciones con Skuld y Kematian Stealer, así como con nuevas familias de ladrones llamadas Divulgar, DedSec (también conocido como Doenerium), Duck, vilsay yunit.
“El aumento de los ladrones de información de código abierto representa un cambio significativo en el mundo de las amenazas cibernéticas”, dijo la empresa de ciberseguridad Hudson Rock. anotado en julio de 2024.
“Al reducir la barrera de entrada y fomentar la innovación rápida, estas herramientas podrían impulsar una nueva ola de infecciones informáticas, planteando desafíos para los profesionales de la ciberseguridad y aumentando el riesgo general para las empresas y los individuos”.