Por Flavio Borquez Tarff<\/p>\n
El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una campa\u00f1a de malware que apunta a sudeste y este de Asia mediante la compra de anuncios enga\u00f1osos para que aparezcan en los resultados de b\u00fasqueda de Google y que conducen a la descarga de instaladores troyanizados. Los atacantes desconocidos crearon sitios web falsos con una apariencia id\u00e9ntica a la de Firefox, WhatsApp o Telegram<\/b>, pero adem\u00e1s de proporcionar el software leg\u00edtimo, tambi\u00e9n descargan\u00a0<\/b>FatalRAT<\/b><\/a>, un troyano de acceso remoto<\/b> (RAT, por sus siglas en ingl\u00e9s) que otorga al atacante el control de la computadora comprometida<\/b>.<\/p>\n Puntos clave de esta publicaci\u00f3n:<\/b><\/p>\n Mapa de calor con los pa\u00edses donde ESET detect\u00f3 los ataques entre agosto de 2022 y enero de 2023. La mayor\u00eda de los ataques afectaron a personas en Taiw\u00e1n, China y Hong Kong.<\/p>\n Tambi\u00e9n se observ\u00f3 un peque\u00f1o n\u00famero de casos en:<\/p>\n Por Flavio Borquez Tarff<\/p>\n La descripci\u00f3n general de la campa\u00f1a muestra una cadena de m\u00faltiples componentes que finalmente instala el malware FatalRAT , que fue descrito por los\u00a0investigadores de AT&T<\/a>\u00a0(@attcyber<\/a>) en agosto de 2021.<\/i><\/p>\n Los atacantes registraron varios nombres de dominio que apuntaban a la misma direcci\u00f3n IP: un servidor que aloja varios sitios web que descargan programas troyanizados. Algunos de estos sitios web se ven id\u00e9nticos a los sitios leg\u00edtimos cuya identidad es suplantada, pero en su lugar ofrecen instaladores maliciosos. Los otros sitios web, posiblemente traducidos por los atacantes, ofrecen versiones en chino de software que no est\u00e1 disponible en China, como Telegram.<\/p>\n ESET observ\u00f3 sitios web maliciosos e instaladores para las siguientes aplicaciones, aproximadamente en orden de popularidad:<\/p>\n Por Flavio Borquez Tarff<\/p>\n Puede ver otros sitios web falsos en la galer\u00eda que se muestra en la Figura 4 (haga clic en una imagen para ampliarla). Aparte de\u00a0electrumx[.]org, un sitio web falso en ingl\u00e9s para la billetera Electrum Bitcoin, todos los dem\u00e1s sitios web est\u00e1n en chino, lo que sugiere que los atacantes est\u00e1n interesados principalmente en personas que hablan esta lengua.<\/p>\n \u201cSi bien, en teor\u00eda, hay muchas formas posibles de que las potenciales v\u00edctimas sean dirigidas a estos sitios web falsos, un\u00a0<\/i>sitio de noticias inform\u00f3<\/i><\/a>\u00a0(versi\u00f3n en ingl\u00e9s\u00a0<\/i>aqu\u00ed<\/i><\/a>) que se estaban desplegando anuncios que conduc\u00eda a uno de estos sitios web maliciosos cuando buscaban el navegador Firefox en Google. No pudimos reproducir dichos resultados de b\u00fasqueda, pero creemos que los anuncios solo se mostraron a los usuarios de la regi\u00f3n objetivo. Tenemos un ejemplo (imagen de la publicaci\u00f3n original anterior). Informamos los sitios web a Google y los anuncios fueron eliminados.\u201d, <\/i>comentan desde el equipo de Investigaci\u00f3n de ESET.<\/p>\n El FatalRAT es un troyano de acceso remoto que fue documentado en agosto de 2021 por\u00a0AT&T Alien Labs<\/a>. Este malware proporciona a los atacantes un conjunto de funcionalidades que permite realizar diversas actividades maliciosas en la computadora de la v\u00edctima. Por ejemplo:<\/p>\n <\/p>\n Seg\u00fan ESET, los atacantes se han esforzado para que los nombres de dominio de los sitios web falsos sean lo m\u00e1s similares posible a los nombres oficiales. En la mayor\u00eda de los casos los sitios web falsos son copias id\u00e9nticas de los sitios leg\u00edtimos. En cuanto a los instaladores troyanizados, los mismos instalan la aplicaci\u00f3n real que el usuario estaba buscando, evitando sospechas de un posible compromiso en la m\u00e1quina de la v\u00edctima. \u201cPor todas estas razones, vemos cu\u00e1n importante es verificar cuidadosamente la URL que estamos visitando antes de descargar el software. Es recomendable que luego de verificar que un sitio web es real escribirlo directamente en la barra de direcciones del navegador.\u201d,<\/i> aconsejan desde el equipo de ESET.<\/p>\n Por Flavio Borquez Tarff<\/p>\n Dado que el malware utilizado en esta campa\u00f1a, FatalRAT, contiene varios comandos que permiten al atacante manipular datos de diferentes navegadores, y que los datos de las v\u00edctimas muestra que no parecen estar enfocados en un tipo de usuario en particular, cualquiera puede verse afectado. Seg\u00fan ESET es posible que los atacantes est\u00e9n \u00fanicamente interesados \u200b\u200ben el robo de informaci\u00f3n, como credenciales web, para venderlas en foros clandestinos, o en usar esta informaci\u00f3n para otro tipo de campa\u00f1a maliciosa son fines econ\u00f3micos, pero por ahora la atribuci\u00f3n espec\u00edfica de esta campa\u00f1a a un actor de amenazas conocido o nuevo es imposible.<\/p>\n Para conocer m\u00e1s sobre seguridad inform\u00e1tica visite el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2023\/02\/16\/falsos-instaladores-descargan-fatalrat-distribuyen-anuncios-google\/<\/a><\/p>\n Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/b><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:<\/p>\n\n
\n
\n
\n
\n
\n