Se está utilizando una «infraestructura grande y resistente» que comprende más de 250 dominios para distribuir malware que roba información, como Raccoon y Vidar, desde principios de 2020.
La cadena de infección «utiliza alrededor de un centenar de sitios web de catálogos de software pirateados falsos que redirigen a varios enlaces antes de descargar la carga útil alojada en plataformas de intercambio de archivos, como GitHub», firma de seguridad cibernética SEKOIA dicho en un análisis publicado a principios de este mes.
La empresa francesa de ciberseguridad evaluó los dominios para ser operados por un actor de amenazas que ejecute un sistema de dirección de tráfico (TDS), que permite a otros ciberdelincuentes alquilar el servicio para distribuir su malware.
Los ataques se dirigen a los usuarios que buscan versiones descifradas de software y juegos en motores de búsqueda como Google, y muestran sitios web fraudulentos en la parte superior al aprovechar una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO) para atraer a las víctimas para que descarguen y ejecuten las cargas maliciosas.
El resultado envenenado viene con un enlace de descarga al software prometido que, al hacer clic, desencadena una secuencia de redirección de URL de cinco etapas para llevar al usuario a una página web que muestra un enlace acortado, que apunta a un archivo RAR protegido por contraseña alojado en GitHub, junto con su contraseña.
«El uso de varias redirecciones complica el análisis automatizado de las soluciones de seguridad», dijeron los investigadores. «Es casi seguro que tallar la infraestructura como tal está diseñado para garantizar la resiliencia, lo que facilita y agiliza la actualización o el cambio de un paso».
Si la víctima descomprime el archivo RAR y ejecuta el supuesto ejecutable de instalación que contiene, cualquiera de las dos familias de malware, Raccoon o Vidar, se instala en el sistema.
El desarrollo llega como Cyble detallado una campaña falsa de Google Ads que emplea software ampliamente utilizado como AnyDesk, Bluestacks, Notepad++ y Zoom como señuelos para ofrecer un ladrón rico en funciones conocido como Rhadamanthys Stealer.
Se ha observado una variante alternativa de la cadena de ataque que aprovecha los correos electrónicos de phishing que se hacen pasar por extractos bancarios para engañar a los usuarios involuntarios para que hagan clic en enlaces fraudulentos.
Los sitios web fabricados que se hacen pasar por la popular solución de escritorio remoto también se han utilizado en el pasado para propagar un ladrón de información basado en Python denominado Ladrón de Mitsu.
Ambas piezas de malware están equipadas para desviar una amplia gama de información personal de máquinas comprometidas, recopilar credenciales de navegadores web y robar datos de varias billeteras de criptomonedas.
Se recomienda a los usuarios que se abstengan de descargar software pirateado y apliquen la autenticación multifactor siempre que sea posible para fortalecer las cuentas.
«Es crucial que los usuarios tengan cuidado al recibir correos electrónicos no deseados o al visitar sitios web de phishing y verificar la fuente antes de descargar cualquier aplicación», dijeron los investigadores.