Las personas que hablan chino en el sudeste y el este de Asia son el objetivo de una nueva campaña fraudulenta de Google Ads que ofrece troyanos de acceso remoto como FatalRAT a las máquinas comprometidas.
Los ataques involucran la compra de espacios publicitarios para aparecer en los resultados de búsqueda de Google que dirigen a los usuarios que buscan aplicaciones populares a sitios web falsos que alojan instaladores troyanos, dijo ESET en un informe publicado hoy. Desde entonces, los anuncios han sido eliminados.
Algunas de las aplicaciones falsificadas incluyen Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao y WPS Office.
“Los sitios web y los instaladores que se descargan de ellos están en su mayoría en chino y, en algunos casos, ofrecen falsamente versiones de software en chino que no están disponibles en China”, dijo la firma de ciberseguridad eslovaca, y agregó que observó los ataques entre agosto de 2022 y enero de 2023 .
La mayoría de las víctimas se encuentran en Taiwán, China y Hong Kong, seguidas de Malasia, Japón, Filipinas, Tailandia, Singapur, Indonesia y Myanmar.
El aspecto más importante de los ataques es la creación de sitios web parecidos con dominios con errores tipográficos para propagar el instalador malicioso que, en un intento por mantener el ardid, instala el software legítimo, pero también deja caer un cargador que implementa FatalRAT.
Al hacerlo, le otorga al atacante el control total de la computadora víctima, incluida la ejecución de comandos de shell arbitrarios, la ejecución de archivos, la recopilación de datos de los navegadores web y la captura de pulsaciones de teclas.
“Los atacantes se han esforzado un poco con respecto a los nombres de dominio utilizados para sus sitios web, tratando de ser lo más similares posible a los nombres oficiales”, dijeron los investigadores. “Los sitios web falsos son, en la mayoría de los casos, copias idénticas de los sitios legítimos”.
Los hallazgos llegan menos de un año después de que Trend Micro revelara una campaña de Purple Fox que aprovechó los paquetes de software contaminados de Adobe, Google Chrome, Telegram y WhatsApp como un vector de llegada para propagar FatalRAT.
También llegan en medio de un abuso más amplio de Google Ads para servir una amplia gama de malware o, alternativamente, llevar a los usuarios a páginas de phishing de credenciales.
En un desarrollo relacionado, el Threat Hunter Team de Symantec arrojó luz sobre otra campaña de malware que se dirige a entidades en Taiwán con un implante basado en .NET previamente no documentado denominado Frebniis.
“La técnica utilizada por Frebniis consiste en inyectar código malicioso en la memoria de un archivo DLL (iisfreb.dll) relacionado con una función de IIS utilizada para solucionar problemas y analizar solicitudes de páginas web fallidas”, dijo Symantec .
“Esto permite que el malware controle sigilosamente todas las solicitudes HTTP y reconozca las solicitudes HTTP especialmente formateadas enviadas por el atacante, lo que permite la ejecución remota de código”.
La firma de ciberseguridad, que atribuyó la intrusión a un actor desconocido, dijo que actualmente no se sabe cómo se obtuvo acceso a la máquina con Windows que ejecuta el servidor de Internet Information Services ( IIS ).
fuente:thehackernews