Páginas falsas de Google Meet distribuyen infostealers en la campaña en curso ClickFix

XPoint
Publicado el 18/10/2024

Google Meet falso

Actores maliciosos están utilizando páginas web falsas de Google Meet como parte de una campaña de malware en curso denominada ClickFix, para distribuir infostealers dirigidos a sistemas Windows y macOS.

“Esta táctica consiste en mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios y hacer que copien y ejecuten un código malicioso de PowerShell, infectando finalmente sus sistemas”, señaló la empresa de ciberseguridad francesa Sekoia.

Variantes de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking) han sido reportadas ampliamente en los últimos meses, con actores de amenazas empleando diferentes señuelos para redirigir a los usuarios a páginas falsas que buscan desplegar malware, instando a los visitantes a ejecutar un código de PowerShell codificado para resolver un supuesto problema al mostrar contenido en el navegador web.

Ciberseguridad

Estas páginas suelen hacerse pasar por servicios populares en línea, incluyendo Facebook, Google Chrome, PDFSimpli, y reCAPTCHA, y ahora también Google Meet, además de potencialmente Zoom. Algunos ejemplos de dominios utilizados son:

•meet.google.us-join[.]com

•meet.googie.com-join[.]us

•meet.google.com-join[.]us

•meet.google.web-join[.]com

•meet.google.webjoining[.]com

•meet.google.cdm-join[.]us

•meet.google.us07host[.]com

•googiedrivers[.]com

•us01web-zoom[.]us

•us002webzoom[.]us

•web05-zoom[.]us

•webroom-zoom[.]us

En sistemas Windows, la cadena de ataque culmina en la instalación de los infostealers StealC y Rhadamanthys, mientras que los usuarios de Apple macOS reciben una imagen de disco infectada (“Launcher_v1.94.dmg”) que despliega otro infostealer conocido como Atomic.

Esta táctica emergente de ingeniería social es notable por evadir hábilmente la detección de herramientas de seguridad, ya que implica que los usuarios ejecuten manualmente el comando malicioso de PowerShell directamente en la terminal, en lugar de ser invocado automáticamente por un payload descargado y ejecutado por ellos.

 

Google Meet falso

Sekoia ha atribuido el grupo que se hace pasar por Google Meet a dos grupos de “traffers”, a saber, Slavic Nation Empire (también conocido como Slavice Nation Land) y Scamquerteo, que son subequipos dentro de markopolo y CryptoLove, respectivamente.

“Ambos equipos de traffers […] usan la misma plantilla de ClickFix que imita a Google Meet”, señaló Sekoia. “Este descubrimiento sugiere que estos equipos comparten materiales, también conocidos como ‘proyecto de aterrizaje’, así como infraestructura.”

Esto, a su vez, ha planteado la posibilidad de que ambos grupos de amenazas estén utilizando el mismo servicio cibercriminal, aún desconocido, con un tercero que probablemente gestiona su infraestructura.

Ciberseguridad

Este desarrollo ocurre en medio del surgimiento de campañas de malware que distribuyen el infostealer de código abierto ThunderKitty, que comparte similitudes con Skuld y Kematian Stealer, así como nuevas familias de infostealers llamadas Divulge, DedSec (también conocido como Doenerium), Duck, Vilsa y Yunit.

“El auge de los infostealers de código abierto representa un cambio significativo en el mundo de las amenazas cibernéticas”, señaló la empresa de ciberseguridad Hudson Rock en julio de 2024.

“Al reducir la barrera de entrada y fomentar la innovación rápida, estas herramientas podrían alimentar una nueva ola de infecciones informáticas, planteando desafíos para los profesionales de la ciberseguridad y aumentando el riesgo general para empresas e individuos.”


English version

Fake Google Meet Pages Deliver Infostealers in Ongoing ClickFix Campaign

Fake Google Meet

Threat actors are using fake Google Meet web pages as part of an ongoing malware campaign called ClickFix to deliver infostealers targeting Windows and macOS systems.

“This tactic involves displaying fake error messages in web browsers to deceive users into copying and executing malicious PowerShell code, eventually infecting their systems,” said French cybersecurity company Sekoia.

Variations of the ClickFix campaign (also known as ClearFake and OneDrive Pastejacking) have been widely reported in recent months, with threat actors using different lures to redirect users to bogus pages that aim to deploy malware by urging visitors to run encoded PowerShell code to resolve a supposed issue with displaying content in the web browser.

Cybersecurity

These pages are known to mimic popular online services, including Facebook, Google Chrome, PDFSimpli, and reCAPTCHA, and now also Google Meet and potentially Zoom. Examples of domains used include:

•meet.google.us-join[.]com

•meet.googie.com-join[.]us

•meet.google.com-join[.]us

•meet.google.web-join[.]com

•meet.google.webjoining[.]com

•meet.google.cdm-join[.]us

•meet.google.us07host[.]com

•googiedrivers[.]com

•us01web-zoom[.]us

•us002webzoom[.]us

•web05-zoom[.]us

•webroom-zoom[.]us

On Windows systems, the attack chain culminates in the deployment of StealC and Rhadamanthys stealers, while Apple macOS users are served a booby-trapped disk image file (“Launcher_v1.94.dmg”) that drops another stealer known as Atomic.

This emerging social engineering tactic is notable for cleverly evading detection by security tools, as it requires users to manually run the malicious PowerShell command directly in the terminal, rather than being automatically triggered by a payload they download and execute.

 

Fake Google Meet

Sekoia has attributed the group impersonating Google Meet to two “traffers” teams: Slavic Nation Empire (aka Slavice Nation Land) and Scamquerteo, which are sub-teams within markopolo and CryptoLove, respectively.

“Both traffers teams […] use the same ClickFix template that impersonates Google Meet,” Sekoia said. “This discovery suggests that these teams share materials, also known as the ‘landing project,’ as well as infrastructure.”

This, in turn, has raised the possibility that both threat groups are using the same, as-yet-unknown cybercrime service, with a third party likely managing their infrastructure.

Cybersecurity

This development comes amid the rise of malware campaigns distributing the open-source ThunderKitty stealer, which shares overlaps with Skuld and Kematian Stealer, as well as new stealer families named Divulge, DedSec (aka Doenerium), Duck, Vilsa, and Yunit.

“The rise of open-source infostealers represents a significant shift in the world of cyber threats,” cybersecurity company Hudson Rock noted back in July 2024.

“By lowering the barrier to entry and fostering rapid innovation, these tools could fuel a new wave of computer infections, posing challenges for cybersecurity professionals and increasing the overall risk to businesses and individuals.”

 

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos