{"id":1038414,"date":"2023-11-09T16:34:26","date_gmt":"2023-11-09T16:34:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-de-publicidad-maliciosa-utiliza-un-portal-de-noticias-falso-de-windows-para-distribuir-instaladores-maliciosos\/"},"modified":"2023-11-09T16:34:30","modified_gmt":"2023-11-09T16:34:30","slug":"nueva-campana-de-publicidad-maliciosa-utiliza-un-portal-de-noticias-falso-de-windows-para-distribuir-instaladores-maliciosos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-de-publicidad-maliciosa-utiliza-un-portal-de-noticias-falso-de-windows-para-distribuir-instaladores-maliciosos\/","title":{"rendered":"Nueva campa\u00f1a de publicidad maliciosa utiliza un portal de noticias falso de Windows para distribuir instaladores maliciosos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad de terminales\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha descubierto que una nueva campa\u00f1a de publicidad maliciosa emplea sitios falsos que se hacen pasar por un portal leg\u00edtimo de noticias de Windows para propagar un instalador malicioso de una popular herramienta de creaci\u00f3n de perfiles del sistema llamada CPU-Z.<\/p>\n

“Este incidente es parte de una campa\u00f1a de publicidad maliciosa m\u00e1s amplia dirigida a otras utilidades como Notepad++, Citrix y VNC Viewer, como se ve en su infraestructura (nombres de dominio) y plantillas de encubrimiento utilizadas para evitar la detecci\u00f3n”, J\u00e9r\u00f4me Segura de Malwarebytes. dicho<\/a>.<\/p>\n

Si bien se sabe que las campa\u00f1as de publicidad maliciosa crean sitios r\u00e9plica que anuncian software ampliamente utilizado, la \u00faltima actividad marca una desviaci\u00f3n en el sentido de que el sitio web imita a WindowsReport.[.]com.<\/p>\n

El objetivo es enga\u00f1ar a los usuarios desprevenidos que buscan CPU-Z en motores de b\u00fasqueda como Google publicando anuncios maliciosos que, al hacer clic en ellos, los redireccionan al portal falso (workspace-app[.]en l\u00ednea).<\/p>\n

Al mismo tiempo, los usuarios que no son las v\u00edctimas previstas de la campa\u00f1a reciben un blog inocuo con diferentes art\u00edculos, una t\u00e9cnica conocida como encubrimiento.<\/p>\n

\"La<\/a><\/center><\/div>\n

El instalador MSI firmado que est\u00e1 alojado en el sitio web fraudulento contiene un script de PowerShell malicioso, un cargador conocido como FakeBat (tambi\u00e9n conocido como EugenLoader), que sirve como conducto para implementar RedLine Stealer en el host comprometido.<\/p>\n

“Es posible que el actor de la amenaza haya elegido crear un sitio se\u00f1uelo parecido a Windows Report porque muchas utilidades de software a menudo se descargan desde dichos portales en lugar de desde su p\u00e1gina web oficial”, se\u00f1al\u00f3 Segura.<\/p>\n

Esta no es la primera vez que los anuncios enga\u00f1osos de Google para software popular resultan ser un vector de distribuci\u00f3n de malware. La semana pasada, la empresa de ciberseguridad eSentire revelado<\/a> detalles de una campa\u00f1a de nitr\u00f3geno actualizada que allana el camino para un ataque de ransomware BlackCat.<\/p>\n

\"Publicidad<\/a><\/div>\n

Otros dos<\/a> campa\u00f1as<\/a> documentados por la firma canadiense de ciberseguridad muestran que el m\u00e9todo de descarga drive-by<\/a> La estrategia de dirigir a los usuarios a sitios web dudosos se ha aprovechado para propagar varias familias de malware como NetWire RAT, DarkGate y DanaBot en los \u00faltimos meses.<\/p>\n

El desarrollo se produce cuando los actores de amenazas contin\u00faan dependiendo cada vez m\u00e1s de kits de phishing de adversario en el medio (AiTM), como P\u00e1ginas desnudas<\/a>, estrox<\/a>y pap\u00e1sec<\/a> para evitar la autenticaci\u00f3n multifactor y secuestrar cuentas espec\u00edficas.<\/p>\n

\"La<\/a><\/center><\/div>\n

Para colmo, eSentire tambi\u00e9n llam\u00f3 la atenci\u00f3n sobre un nuevo m\u00e9todo denominado ataque Wiki-Slack, un ataque dirigido al usuario que tiene como objetivo llevar a las v\u00edctimas a un sitio web controlado por el atacante desfigurando el final del primer p\u00e1rrafo de un art\u00edculo de Wikipedia y compartiendo en Slack.<\/p>\n

Espec\u00edficamente, explota una peculiaridad de Slack que “maneja mal[s] el espacio en blanco entre el primer y segundo p\u00e1rrafo” para generar autom\u00e1ticamente un enlace cuando la URL de Wikipedia es renderizado como una vista previa<\/a> en la plataforma de mensajer\u00eda empresarial.<\/p>\n

Vale la pena se\u00f1alar que un requisito previo clave para llevar a cabo este ataque es que la primera palabra del segundo p\u00e1rrafo del art\u00edculo de Wikipedia debe ser un dominio de nivel superior (por ejemplo, in, at, com o net) y que los dos p\u00e1rrafos debe aparecer dentro de las primeras 100 palabras del art\u00edculo.<\/p>\n

Con estas restricciones, una amenaza podr\u00eda convertir este comportamiento en un arma, de modo que la forma en que Slack formatea los resultados de vista previa de la p\u00e1gina compartida apunte a un enlace malicioso que, al hacer clic, lleva a la v\u00edctima a un sitio con trampas explosivas.<\/p>\n

“Si uno no tiene barreras \u00e9ticas, puede aumentar la superficie de ataque del ataque Wiki-Slack editando p\u00e1ginas de inter\u00e9s de Wikipedia para desfigurarlas”, eSentire dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n