Falsas Actualizaciones de Navegador Distribuyen Malware BitRAT y Lumma Stealer

XPoint
Publicado el 03/06/2024

Actualizaciones falsas de navegadores web están siendo utilizadas para distribuir troyanos de acceso remoto (RAT) y malware de robo de información, como BitRAT y Lumma Stealer (también conocido como LummaC2).

«Las falsas actualizaciones de navegadores han sido responsables de numerosas infecciones de malware, incluyendo el conocido malware SocGholish», informó la firma de ciberseguridad eSentire en un nuevo reporte. «En abril de 2024, observamos que FakeBat se distribuía a través de mecanismos de actualización falsa similares».

La cadena de ataque comienza cuando las posibles víctimas visitan un sitio web con trampas que contiene código JavaScript diseñado para redirigir a los usuarios a una página de actualización de navegador falsa («chatgpt-app[.]cloud»).

La página redirigida viene con un enlace de descarga a un archivo ZIP («Update.zip») alojado en Discord, que se descarga automáticamente en el dispositivo de la víctima.

Vale la pena señalar que los actores maliciosos frecuentemente utilizan Discord como vector de ataque, con un análisis reciente de Bitdefender que descubrió más de 50,000 enlaces peligrosos distribuyendo malware, campañas de phishing y spam en los últimos seis meses.

Ciberseguridad Dentro del archivo ZIP se encuentra otro archivo JavaScript («Update.js»), que desencadena la ejecución de scripts PowerShell responsables de recuperar cargas adicionales, incluyendo BitRAT y Lumma Stealer, desde un servidor remoto en forma de archivos de imagen PNG.

También se recuperan de esta manera scripts PowerShell para establecer persistencia y un cargador basado en .NET utilizado principalmente para lanzar el malware final. eSentire postula que el cargador probablemente se anuncia como un «servicio de entrega de malware» debido a que el mismo cargador se utiliza para desplegar tanto BitRAT como Lumma Stealer.

BitRAT es un RAT con numerosas funciones que permite a los atacantes recopilar datos, minar criptomonedas, descargar más binarios y controlar remotamente los hosts infectados. Lumma Stealer, un malware de robo de información disponible por $250 a $1,000 por mes desde agosto de 2022, ofrece la capacidad de capturar información de navegadores web, billeteras de criptomonedas y otros detalles sensibles.

«El señuelo de la actualización falsa del navegador se ha vuelto común entre los atacantes como un medio de acceso a un dispositivo o red», dijo la empresa, agregando que «muestra la capacidad del operador para aprovechar nombres confiables para maximizar el alcance y el impacto».

Si bien estos ataques generalmente utilizan descargas involuntarias y técnicas de publicidad maliciosa, ReliaQuest, en un informe publicado la semana pasada, dijo haber descubierto una nueva variante de la campaña ClearFake que engaña a los usuarios para que copien, peguen y ejecuten manualmente código PowerShell malicioso bajo el pretexto de una actualización del navegador.

Específicamente, el sitio web malicioso afirma que «algo salió mal al mostrar esta página web» e instruye al visitante del sitio a instalar un certificado raíz para solucionar el problema siguiendo una serie de pasos, lo que implica copiar código PowerShell ofuscado y ejecutarlo en una terminal PowerShell.

«Al ejecutarse, el código PowerShell realiza múltiples funciones, incluyendo limpiar la caché de DNS, mostrar un cuadro de mensaje, descargar más código PowerShell e instalar el malware ‘LummaC2′», dijo la empresa.

Según la información compartida por la firma de ciberseguridad, Lumma Stealer emergió como uno de los robadores de información más prevalentes en 2023, junto con RedLine y Raccoon.

«El número de registros obtenidos por LummaC2 listados para la venta aumentó en un 110% del tercer al cuarto trimestre de 2023», señaló. «La creciente popularidad de LummaC2 entre los adversarios probablemente se deba a su alta tasa de éxito, lo que se refiere a su efectividad para infiltrarse en sistemas y exfiltrar datos sensibles sin ser detectado».

El desarrollo se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) divulgó detalles de una nueva campaña que emplea discos web (abreviatura de disco duro web) como un conducto para distribuir instaladores maliciosos para juegos para adultos y versiones pirateadas de Microsoft Office, y finalmente desplegar una variedad de malware como Orcus RAT, XMRig miner, 3proxy y XWorm.

Ciberseguridad Cadenas de ataque similares que involucran sitios web que ofrecen software pirateado han llevado al despliegue de cargadores de malware como PrivateLoader y TaskLoader, que se ofrecen como un servicio de pago por instalación (PPI) para que otros ciberdelincuentes entreguen sus propias cargas.

También sigue nuevos hallazgos de Silent Push sobre el uso «casi exclusivo» de DNSPod[.]com por parte de CryptoChameleon para apoyar su arquitectura de kits de phishing. DNSPod, parte de la empresa china Tencent, tiene un historial de proporcionar servicios para operadores de alojamiento a prueba de balas maliciosos.

«CryptoChameleon utiliza servidores de nombres de DNSPod para participar en técnicas de evasión de flujo rápido que permiten a los actores de amenazas cambiar rápidamente entre grandes cantidades de IPs vinculadas a un solo nombre de dominio», dijo la empresa.

«El flujo rápido permite a la infraestructura de CryptoChameleon evadir las contramedidas tradicionales, y reduce significativamente el valor operativo de los IOC de punto en el tiempo.» utilizando al menos siete cuentas principales de redes sociales y una red CIB de más de 250 cuentas.

Preguntas frecuentes

+

¿Qué es el LummaStealer Malware?

+

LummaStealer es un malware de tipo stealer (programas informáticos maliciosos del tipo troyano) diseñado para robar información confidencial de dispositivos infectados

¿Qué es el Malware BitRAT?

+

BitRAT es un malware del tipo Troyano de Acceso Remoto (RAT, por sus siglas en inglés), que permite a los ciberdelincuentes acceder y controlar de forma remota los sistemas infectados. Aunque no es el más sofisticado, BitRAT es altamente peligroso.

¿Qué es y para qué sirve un Hacking Ético?

+

El Ethical Hacking, también conocido como hacking ético, implica el uso de habilidades y técnicas similares a las de los hackers maliciosos, pero de manera legal y ética. Los profesionales de la ciberseguridad, conocidos como hackers éticos, utilizan estas habilidades para identificar y resolver vulnerabilidades en sistemas informáticos, redes y aplicaciones de una organización. El objetivo es mejorar la seguridad y proteger los activos digitales al encontrar y corregir fallos de seguridad antes de que sean explotados por ciberdelincuentes. Esta práctica ayuda a fortalecer las defensas cibernéticas, proteger la confidencialidad de la información y cumplir con requisitos regulatorios, además de prevenir pérdidas financieras y daños a la reputación. En resumen, el Ethical Hacking es una herramienta esencial para mitigar los riesgos de seguridad en un entorno digital cada vez más amenazante.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos