{"id":1050915,"date":"2023-11-17T15:57:09","date_gmt":"2023-11-17T15:57:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuidado-los-anuncios-maliciosos-de-google-enganan-a-los-usuarios-de-winscp-para-que-instalen-malware\/"},"modified":"2023-11-17T15:57:12","modified_gmt":"2023-11-17T15:57:12","slug":"cuidado-los-anuncios-maliciosos-de-google-enganan-a-los-usuarios-de-winscp-para-que-instalen-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuidado-los-anuncios-maliciosos-de-google-enganan-a-los-usuarios-de-winscp-para-que-instalen-malware\/","title":{"rendered":"Cuidado: los anuncios maliciosos de Google enga\u00f1an a los usuarios de WinSCP para que instalen malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de noviembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Publicidad maliciosa\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Cuidado-los-anuncios-maliciosos-de-Google-enganan-a-los-usuarios.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los actores de amenazas est\u00e1n aprovechando resultados de b\u00fasqueda manipulados y anuncios falsos de Google que enga\u00f1an a los usuarios que buscan descargar software leg\u00edtimo como WinSCP para que instalen malware.<\/p>\n<p>La empresa de ciberseguridad Securonix est\u00e1 rastreando la actividad en curso bajo el nombre <strong>SEO#ACEDADOR<\/strong>.<\/p>\n<p>&#8220;El anuncio malicioso dirige al usuario a un sitio web de WordPress comprometido gameeweb[.]com, que redirige al usuario a un sitio de phishing controlado por el atacante&#8221;, afirman los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/seolurker-attack-campaign-uses-seo-poisoning-fake-google-ads-to-install-malware\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Se cree que los actores de amenazas aprovechan los anuncios din\u00e1micos de b\u00fasqueda de Google (<a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/google-ads\/answer\/2471185?hl=en\" target=\"_blank\">DSA<\/a>), que genera autom\u00e1ticamente anuncios basados \u200b\u200ben el contenido de un sitio para publicar anuncios maliciosos que llevan a las v\u00edctimas al sitio infectado.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-expertos-advierten-sobre-piratas-informaticos-de-ransomware-que-explotan.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El objetivo final de la compleja cadena de ataque de varias etapas es atraer a los usuarios para que hagan clic en el sitio web falso y parecido a WinSCP, winccp.[.]net y descargue el malware.<\/p>\n<p>&#8220;Tr\u00e1fico desde gaweeweb[.]com sitio web al falso winsccp[.]net depende de que el encabezado de referencia correcto est\u00e9 configurado correctamente&#8221;, dijeron los investigadores. &#8220;Si la referencia es incorrecta, el usuario es &#8216;<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Rickrolling\" target=\"_blank\">Rick Rolled<\/a>&#8216; y se env\u00eda al infame v\u00eddeo de Rick Astley en YouTube&#8221;.<\/p>\n<p>La carga \u00fatil final toma la forma de un archivo ZIP (&#8220;WinSCP_v.6.1.zip&#8221;) que viene con un ejecutable de configuraci\u00f3n que, cuando se inicia, emplea <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Carga lateral de DLL<\/a> para cargar y ejecutar un archivo DLL llamado python311.dll que est\u00e1 presente en el archivo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1700236628_792_Cuidado-los-anuncios-maliciosos-de-Google-enganan-a-los-usuarios.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1700236628_792_Cuidado-los-anuncios-maliciosos-de-Google-enganan-a-los-usuarios.jpg\" alt=\"\" border=\"0\" data-original-height=\"497\" data-original-width=\"728\"\/><\/a><\/div>\n<p>La DLL, por su parte, descarga y ejecuta un instalador leg\u00edtimo de WinSCP para mantener la artima\u00f1a, mientras deja caer sigilosamente scripts de Python (&#8220;slv.py&#8221; y &#8220;wo15.py&#8221;) en segundo plano para activar el comportamiento malicioso.  Tambi\u00e9n es responsable de configurar la persistencia.<\/p>\n<p>Ambos scripts de Python est\u00e1n dise\u00f1ados para establecer contacto con un servidor remoto controlado por un actor para recibir instrucciones adicionales que permitan a los atacantes ejecutar comandos de enumeraci\u00f3n en el host.<\/p>\n<p>&#8220;Dado que los atacantes estaban aprovechando Google Ads para dispersar malware, se puede creer que los objetivos se limitan a cualquiera que busque software WinSCP&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;El bloqueo geogr\u00e1fico utilizado en el sitio que aloja el malware sugiere que quienes se encuentran en los EE. UU. son v\u00edctimas de este ataque&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Esta no es la primera vez que se abusa de los anuncios din\u00e1micos de b\u00fasqueda de Google para distribuir malware.  A finales del mes pasado, Malwarebytes levant\u00f3 la tapa de una campa\u00f1a dirigida a los usuarios que buscan PyCharm con enlaces a un sitio web pirateado que alberga un instalador fraudulento que allana el camino para la implementaci\u00f3n de malware que roba informaci\u00f3n.<\/p>\n<p>La publicidad maliciosa tiene <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/wdormann\/status\/1614675821578395655\" target=\"_blank\">crecido<\/a> en popularidad entre los ciberdelincuentes en los \u00faltimos a\u00f1os, con numerosas campa\u00f1as de malware que utilizan esta t\u00e1ctica para ataques en los \u00faltimos meses.<\/p>\n<p>A principios de esta semana, Malwarebytes <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/11\/credit-card-skimming-on-the-rise-for-the-holiday-shopping-season\" target=\"_blank\">revel\u00f3<\/a> un aumento en las campa\u00f1as de robo de tarjetas de cr\u00e9dito en octubre de 2023 que se estima que comprometieron a cientos de sitios web de comercio electr\u00f3nico con el objetivo de robar informaci\u00f3n financiera mediante la inyecci\u00f3n de p\u00e1ginas de pago falsificadas y convincentes.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/beware-malicious-google-ads-trick.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de noviembre de 2023\ue804Sala de redacci\u00f3nPublicidad maliciosa\/malware Los actores de amenazas est\u00e1n aprovechando resultados de b\u00fasqueda manipulados<\/p>\n","protected":false},"author":1,"featured_media":1050916,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20284,4661,4664,26,54135,4662,8666,101654,4668,201033,36,34681,4669,4654,201031,4659,4653,4655,18,4666,4665,201032,7528,4660,172305],"class_list":["post-1050915","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anuncios","tag-ataques-ciberneticos","tag-como-hackear","tag-cuidado","tag-enganan","tag-filtracion-de-datos","tag-google","tag-instalen","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-maliciosos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-usuarios","tag-vulnerabilidad-de-software","tag-winscp"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1050915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1050915"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1050915\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1050916"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1050915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1050915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1050915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}