Descubrimiento de una Campaña de Malvertising Global
Microsoft ha revelado una extensa campaña de malvertising que ha impactado a más de un millón de dispositivos en todo el mundo. En un post de su blog, la empresa detalló cómo los actores detrás de esta amenaza han utilizado plataformas como Dropbox, Discord y GitHub para propagar malware. Estos ataques, cuyo objetivo principal es el robo de información sensible, fueron detectados a principios de diciembre. Se localizaron en sitios de streaming ilegales que, al contener anuncios y ventanas emergentes maliciosas, redirigían a los usuarios a otras plataformas, principalmente a GitHub.
Sofisticación en las Etapas de los Ciberataques
La complejidad de estos ciberataques se destaca en el uso de varios tipos de malware, que se despliegan en diferentes fases. En la primera etapa, los usuarios son dirigidos a GitHub, donde sus dispositivos son comprometidos por un malware que facilita el control para los hackers.
Durante la segunda etapa, el malware recopila información del sistema comprometido, incluyendo el tamaño de la memoria, el tipo de tarjeta gráfica y el sistema operativo en uso. Posteriormente, se instalan cargas adicionales en el sistema. La naturaleza de estas cargas definirá el desarrollo de la tercera fase.
En la tercera etapa, la carga liberada puede ser un «ejecutable» o un «script de PowerShell». Si se activa un script de PowerShell, asegurará que se ejecute un troyano de acceso remoto (RAT) de NetSupport cada vez que se inicie Windows. A partir de ahí, el malware puede cargar Lumma para robar datos y contraseñas del navegador.
Si en cambio se libera un ejecutable (exe), se generará y ejecutará un archivo CMD, dejando un intérprete de AutoIt renombrado con una extensión .com. Luego de llevar a cabo varios procesos complejos, se utiliza un código JavaScript para asegurar la persistencia de los archivos .scr.
La Fase Final del Ataque
En la etapa final, el malware Autofit utiliza RegAsm o PowerShell para abrir archivos, controlar navegadores de manera remota y robar datos adicionales del dispositivo. En ocasiones, PowerShell puede indicar a Defender que pase por alto ciertos archivos e instalar otras cargas de NetSupport.
Identificación de Sitios de Streaming Maliciosos
¿Qué sucede si un servicio de streaming se encuentra diseñado para llevar a cabo campañas de malvertising? Existen señales que pueden ayudarte a identificar una amenaza. Mantente alerta ante iframes maliciosos; esto se traduce en redirecciones inesperadas, ventanas emergentes y anuncios excesivos. Otros indicadores de un sitio web comprometido pueden ser detectados al inspeccionar la URL. Si notas caracteres como widiaoexhe[.]top o movies7[.]net, es probable que estés ante una trampa de malware. Microsoft ha publicado una lista de signos que ayudan a identificar dominios maliciosos.
Protegiendo Tu Dispositivo de Ataques
Si te preocupa la seguridad de tu dispositivo ante estos ataques, lo más recomendable es evitar la fuente original: los sitios de streaming ilegales. Aunque pueden parecer gratuitos, suelen redirigir a plataformas maliciosas. Microsoft sugiere que los usuarios fortalezcan la configuración de Microsoft Defender para Endpoint; los detalles al respecto se encuentran en su guía. A pesar de las limitaciones, los expertos en seguridad de Microsoft también recomiendan la autenticación multifactor.
Recuerda que la seguridad en el mundo digital es fundamental. Mantente informado y protegido.
