Expertos en seguridad emitieron una advertencia a los usuarios de Google Chrome tras descubrir un ciberataque dirigido al navegadorasí como microsoftLas aplicaciones Word y OneDrive de
El ataque ha utilizado mensajes de error falsos para engañar a los usuarios para que instalen ellos mismos el software malicioso como una «solución».
Los piratas informáticos envían notificaciones por correo electrónico y ventanas emergentes en sitios web, que afirman que el usuario ha experimentado un mal funcionamiento del software y necesita una actualización rápida.
Para detectar una falsificación, los expertos han aconsejado a los usuarios que tengan cuidado con los mensajes que afirman que una solución requerirá que instalen un «certificado raíz» copiando y pegando código sin formato.
Si bien el ciberataque es capaz de robar todo tipo de datos digitales privados, parte del nuevo malware parece preparado para robar criptomonedas, como bitcoin.
Los piratas informáticos tienen una nueva táctica para introducir malware en su computadora: actualizaciones falsas del navegador Chrome de Google, así como de los productos Word y OneDrive de Microsoft.
La nueva y maliciosa táctica de piratería fue descubierta por la prolífica empresa de ciberseguridad Proofpoint, fundada en 2002 por un ex director de tecnología de Netscape.
El nuevo estilo de «mensajes de error falsos», advirtieron, «es inteligente y pretende ser una notificación autorizada proveniente del sistema operativo».
El esquema implica indicaciones aparentemente oficiales de estos gigantes tecnológicos, Google y Microsoft, que piden a los usuarios que abran lo que se conoce como un ‘shell de línea de comandos’, específicamente la versión de Microsoft de una herramienta de línea de comandos para Windows, PowerShell.
Las herramientas de línea de comandos, incluido Windows PowerShell, son programas diseñados para que codificadores más experimentados programen directamente el código central de su propia computadora.
Los mensajes de error falsos de los piratas informáticos alientan a los usuarios involuntarios a copiar y pegar código sin formato y luego instalarlo como una «solución» ejecutando o «ejecutando» ese código en PowerShell.
Los expertos en seguridad cibernética sólo han visto a estos piratas informáticos implementar este esquema específico de ‘solución falsa’ a través de PowerShell, por lo que los usuarios de Apple iOS deberían poder estar tranquilos por ahora.
El esquema implica indicaciones aparentemente oficiales, como la que se muestra arriba, que piden a los usuarios que abran lo que se conoce como «shell de línea de comandos», una forma de software que permite a los codificadores más experimentados programar su computadora de manera más directa e instalar una solución de código. ‘
«Esta cadena de ataque requiere una interacción significativa del usuario para tener éxito», señaló la compañía en su publicación de asesoramiento sobre la amenaza cibernética basada en PowerShell.
«También proporciona tanto el problema como una solución», señalaron, «para que el espectador pueda tomar medidas rápidamente sin detenerse a considerar el riesgo».
Cualquier persona o mensaje que le indique que ejecute código sin formato en una terminal o shell debe ser tratado con precaución y extremo escepticismo, dijeron.
En todos los casos, estos piratas informáticos han creado sus mensajes de error falsos a través de fallas o vulnerabilidades inherentes al uso de JavaScript en archivos adjuntos de correo electrónico HTML o a través de sitios web en línea totalmente comprometidos.
Si bien se han documentado los errores falsos superpuestos de Google Chrome, Microsoft Word y OneDrive, los investigadores de Proofpoint advirtieron que esta forma básica de pirateo podría presentarse como otras solicitudes de actualización de software confiables en el futuro.
En todos los casos, explicaron los expertos en ciberseguridad, los piratas informáticos crearon sus mensajes de error falsos a través de fallas o vulnerabilidades utilizando JavaScript en archivos adjuntos de correo electrónico HTML o a través de sitios web comprometidos. Arriba, un ejemplo de mensajes falsos, disfrazados esta vez como un mensaje de MS Word.
Si bien los errores falsos superpuestos de Google Chrome, Microsoft Word y OneDrive (ejemplo en la foto de arriba) ya se han documentado, los investigadores de Proofpoint advirtieron que esta forma básica de pirateo podría presentarse como otras solicitudes de actualización de software confiables en el futuro.
Según Proofpoint, dos interesantes programas maliciosos dieron pistas sobre las intenciones de los piratas informáticos.
Uno llamado ‘ma.exe’ descargó y ejecutó un programa de minería de criptomonedas llamado XMRig con una configuración específica. El segundo, ‘cl.exe’, fue diseñado inteligentemente para reemplazar las direcciones de criptomonedas en el portapapeles de ‘cortar y pegar’ del usuario.
En esencia, ese segundo programa de malware tenía como objetivo provocar accidentalmente que víctimas desprevenidas «transfirieran criptomonedas a una dirección controlada por un actor de amenazas en lugar de a la dirección prevista al realizar las transferencias», dijo el equipo de Proofpoint.
Si un usuario estuviera copiando y pegando la dirección de una billetera de criptomonedas para enviar su dinero digital, este malware cambiaría silenciosamente esa dirección copiada por la dirección de su propia billetera ficticia.
Cuando el hack tiene éxito, el usuario no se da cuenta del cambio y simplemente envía el efectivo en criptomonedas a la billetera ficticia anónima del hacker.
En abril, los expertos en seguridad vieron este nuevo método en uso junto con el grupo de herramientas de piratería ClearFake, que apuntó a los usuarios de Apple en noviembre pasado con lo que se describió como un virus de «un solo golpe para aplastar y capturar». Los nuevos hacks parecen estar preparados para robar las criptomonedas de los usuarios
En abril, los expertos en seguridad vieron este nuevo método en uso junto con el grupo de herramientas de piratería ClearFake, que apuntó a los usuarios de Apple en noviembre pasado con lo que se describió como un virus de «un solo golpe para aplastar y capturar».
El script malicioso PowerShell del hacker actúa como un troyano que permite descargar aún más código malicioso en el sistema de la víctima.
Primero, supuestamente realiza varios diagnósticos para confirmar que el dispositivo host es un objetivo válido.
Como prueba clave, uno de los scripts maliciosos de PowerShell obtendría la temperatura del sistema de la computadora de la víctima para detectar si el malware se estaba ejecutando en una computadora real, o en la llamada «zona de pruebas», una PC virtual aislada que se utiliza para manejar y analizar software potencialmente peligroso.
Si no se devolvían datos de temperatura al malware, ese hecho se interpretaba como una señal que revelaba que el código del hacker en realidad se estaba ejecutando dentro de un entorno virtual o sandbox.
Luego, el malware saldría y abortaría su operación, protegiendo el código malicioso posterior y más detallado de los piratas informáticos para que no quede atrapado en la zona de pruebas para que los expertos lo estudien.
El equipo de Proofpoint recomendó a los usuarios que tengan cuidado al copiar y pegar código u otro texto de mensajes en sitios web o alertas que supuestamente provienen de aplicaciones de software confiables.
‘Software antivirus y EDR [Endpoint Detection and Response monitoring software]», dijeron, «tienen problemas para inspeccionar el contenido del portapapeles».
La firma de ciberseguridad también pidió a las empresas que realicen capacitación sobre este tema y se concentren en la «detección y bloqueo» que evitaría que estos y otros mensajes similares de «soluciones falsas» aparezcan en primer lugar.
