Anuncios Maliciosos de Google Engañan a Usuarios de WinSCP para Instalar Malware

XPoint
Publicado el 17/11/2023

Actores de amenazas aprovechan los resultados de búsqueda manipulados y anuncios falsos de Google para engañar a los usuarios que buscan descargar software legítimo como WinSCP.

La actividad, rastreada como SEO#LURKER, utiliza anuncios de Búsqueda Dinámica de Google (DSAs) para dirigir a los usuarios a un sitio web comprometido y, finalmente, a una falsa página de descarga de WinSCP.

El ataque de varias etapas tiene como objetivo incitar a los usuarios a hacer clic en el sitio web falso de WinSCP, winccp[.]net, y descargar el malware.

Se utiliza el tráfico de un sitio web comprometido (gameeweb[.]com) hacia el falso sitio web de winsccp[.]net, y si el referente es incorrecto, los usuarios son redirigidos al famoso video de Rick Astley.

El payload final se presenta como un archivo ZIP («WinSCP_v.6.1.zip«) que, al ejecutarse, utiliza la carga lateral de DLL para ejecutar un archivo DLL malicioso.

El DLL descarga y ejecuta un instalador legítimo de WinSCP para mantener el engaño, al mismo tiempo que ejecuta en segundo plano scripts de Python («slv.py» y «wo15.py«) para activar el comportamiento malicioso.

Los scripts de Python establecen contacto con un servidor controlado por los atacantes para recibir instrucciones adicionales y permitirles ejecutar comandos de enumeración en el host.

La campaña utiliza anuncios de Búsqueda Dinámica de Google, limitando posiblemente los objetivos a aquellos que buscan el software WinSCP.
El uso de geobloqueo en el sitio que aloja el malware sugiere que los objetivos de este ataque están en los Estados Unidos.

Este no es el primer caso de abuso de los anuncios de Búsqueda Dinámica de Google; los ciberdelincuentes han utilizado esta táctica para distribuir malware en el pasado.

Fuente: The Hacker News

Preguntas frecuentes

¿Qué es WinSCP?

+

WinSCP es un programa de software de código abierto diseñado para facilitar la transferencia segura de archivos entre sistemas locales y servidores remotos. Funciona bajo el protocolo de transferencia de archivos seguro (SFTP) y el antiguo protocolo de copia segura (SCP), proporcionando una interfaz gráfica de usuario para gestionar de manera eficiente las transferencias de archivos a través de una conexión segura. WinSCP es especialmente útil para usuarios que necesitan transferir archivos de manera segura entre sistemas Windows y servidores basados en UNIX. Ofrece características como la gestión de sitios, la sincronización de directorios y la edición de archivos directamente desde el servidor remoto, facilitando la administración de archivos de manera efectiva.

¿Quién es una búsqueda dinámica de Google?

+

La Búsqueda Dinámica de Google, también conocida como Google Instant, fue una característica que mostraba resultados de búsqueda en tiempo real a medida que los usuarios escribían en el cuadro de búsqueda. Introducida en 2010, se centraba en mejorar la velocidad y la eficiencia de las búsquedas al proporcionar resultados instantáneos sin necesidad de presionar «Enter». Sin embargo, en 2017, Google descontinuó esta función, argumentando que las búsquedas actuales ya eran rápidas y que la Búsqueda Dinámica dificultaba la adaptación a las cambiantes formas de uso de la tecnología, como las búsquedas en dispositivos móviles. Aunque ya no está disponible, Google sigue ofreciendo resultados rápidos y relevantes a medida que los usuarios escriben sus consultas en el cuadro de búsqueda.

¿Qué es DLL?

+

Una DLL (Biblioteca de Vínculos Dinámicos) es un archivo que contiene código y datos compartidos por múltiples programas. Facilita la reutilización de código, la carga dinámica en memoria cuando es necesario y la eficiencia de espacio al ser compartida por varias aplicaciones. Permite actualizaciones globales, extensibilidad y puede generar dependencias entre programas y DLL. Aunque ofrece ventajas, también puede plantear desafíos de compatibilidad. En el contexto de Windows, las DLL son esenciales para el funcionamiento de muchas aplicaciones y del sistema operativo.

¿Qué es el Hacking Ético?

+

Hacking Ético XPoint

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es el Phishing Ético?

+

El phishing ético es una práctica en ciberseguridad donde profesionales de la seguridad informática simulan ataques de phishing con el propósito de evaluar y mejorar la conciencia y preparación de una organización frente a posibles engaños en línea. A diferencia de los ciberdelincuentes malintencionados, los expertos en phishing ético buscan identificar debilidades en la capacitación de los empleados, las defensas tecnológicas y los procesos organizativos. Este enfoque ayuda a fortalecer las medidas de seguridad y a reducir el riesgo de caer víctima de ataques de phishing reales.

¿Tienes dudas?, contáctanos