Falsos instaladores de apps conocidas se distribuyen a través de anuncios de Google
El equipo de investigación de ESET, compañía de detección proactiva de amenazas, identificó una campaña que apunta a sudeste y este de Asia mediante la compra de anuncios engañosos para que aparezcan en los resultados de búsqueda de Google y que conducen a la descarga de instaladores troyanizados. Los atacantes desconocidos crearon sitios web falsos con una apariencia idéntica a la de Firefox, WhatsApp o Telegram, pero además de proporcionar el software legítimo, también descargan FatalRAT, un troyano de acceso remoto (RAT, por sus siglas en inglés) que otorga al atacante el control de la computadora comprometida.
Los atacantes compraron anuncios para posicionar sus sitios web maliciosos en la sección “patrocinada” de los resultados de búsqueda de Google. El especialista informó de estos anuncios a Google y se eliminaron de inmediato.
Los sitios web y los instaladores descargados de estos sitios están en su mayoría en chino y, en algunos casos, ofrecen falsas versiones de software en chino que no están disponibles en China.
Se observaron víctimas principalmente en el sudeste y este de Asia, lo que sugiere que los anuncios estaban dirigidos a esa región.
Se observaron ataques entre agosto de 2022 y enero de 2023, pero según la telemetría del experto, se han utilizado versiones anteriores de los instaladores desde al menos mayo de 2022.
Ninguno de los programas maliciosos o la infraestructura de red utilizada en esta campaña se ha asociado con actividades conocidas de ningún grupo mencionado, por lo que, por ahora, no se ha atribuido esta actividad a ningún grupo conocido.
La mayoría de los ataques afectaron a personas en Taiwán, China y Hong Kong.
Los atacantes registraron varios nombres de dominio que apuntaban a la misma dirección IP: un servidor que aloja varios sitios web que descargan programas troyanizados. Algunos de estos sitios web se ven idénticos a los sitios legítimos cuya identidad es suplantada, pero en su lugar ofrecen instaladores maliciosos. Los otros sitios web, posiblemente traducidos por los atacantes, ofrecen versiones en chino de software que no está disponible en China, como Telegram.
El análisis mostró sitios web maliciosos e instaladores para las siguientes aplicaciones, aproximadamente en orden de popularidad:
o Chrome
o Firefox
o Telegram
o WhatsApp
o Line
o Signal
o Skype
o Billetera de Bitcoin Electrum
o Sogou Pinyin Method
o Youdao, una app de traducción y diccionario
o WPS Office, una suite de office gratuita
El FatalRAT es un troyano de acceso remoto que fue documentado en agosto de 2021 por AT&T Alien Labs. Este malware proporciona a los atacantes un conjunto de funcionalidades que permite realizar diversas actividades maliciosas en la computadora de la víctima. Por ejemplo:
- Registrar las pulsaciones del teclado
- Cambiar la resolución de pantalla de la víctima
- Terminar los procesos del navegador y robar o eliminar datos almacenados en ellos. Los navegadores objetivo son:
o Chrome
o Firefox
o QQ
o Sogou Explorer
- Descargar y ejecutar un archivo
- Ejecutar comandos de Shell
Según los especialistas, los atacantes se han esforzado para que los nombres de dominio de los sitios web falsos sean lo más similares posible a los nombres oficiales. En la mayoría de los casos los sitios web falsos son copias idénticas de los sitios legítimos. En cuanto a los instaladores troyanizados, los mismos instalan la aplicación real que el usuario estaba buscando, evitando sospechas de un posible compromiso en la máquina de la víctima. “Por todas estas razones, vemos cuán importante es verificar cuidadosamente la URL que estamos visitando antes de descargar el software. Es recomendable que luego de verificar que un sitio web es real escribirlo directamente en la barra de direcciones del navegador.”, aconsejan.