Actores maliciosos están utilizando páginas web falsas de Google Meet como parte de una campaña de malware en curso denominada ClickFix, para distribuir infostealers dirigidos a sistemas Windows y macOS.
“Esta táctica consiste en mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios y hacer que copien y ejecuten un código malicioso de PowerShell, infectando finalmente sus sistemas”, señaló la empresa de ciberseguridad francesa Sekoia.
Variantes de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking) han sido reportadas ampliamente en los últimos meses, con actores de amenazas empleando diferentes señuelos para redirigir a los usuarios a páginas falsas que buscan desplegar malware, instando a los visitantes a ejecutar un código de PowerShell codificado para resolver un supuesto problema al mostrar contenido en el navegador web.
Ciberseguridad
Estas páginas suelen hacerse pasar por servicios populares en línea, incluyendo Facebook, Google Chrome, PDFSimpli, y reCAPTCHA, y ahora también Google Meet, además de potencialmente Zoom. Algunos ejemplos de dominios utilizados son:
•meet.google.us-join[.]com
•meet.googie.com-join[.]us
•meet.google.com-join[.]us
•meet.google.web-join[.]com
•meet.google.webjoining[.]com
•meet.google.cdm-join[.]us
•meet.google.us07host[.]com
•googiedrivers[.]com
•us01web-zoom[.]us
•us002webzoom[.]us
•web05-zoom[.]us
•webroom-zoom[.]us
En sistemas Windows, la cadena de ataque culmina en la instalación de los infostealers StealC y Rhadamanthys, mientras que los usuarios de Apple macOS reciben una imagen de disco infectada (“Launcher_v1.94.dmg”) que despliega otro infostealer conocido como Atomic.
Esta táctica emergente de ingeniería social es notable por evadir hábilmente la detección de herramientas de seguridad, ya que implica que los usuarios ejecuten manualmente el comando malicioso de PowerShell directamente en la terminal, en lugar de ser invocado automáticamente por un payload descargado y ejecutado por ellos.
Sekoia ha atribuido el grupo que se hace pasar por Google Meet a dos grupos de “traffers”, a saber, Slavic Nation Empire (también conocido como Slavice Nation Land) y Scamquerteo, que son subequipos dentro de markopolo y CryptoLove, respectivamente.
“Ambos equipos de traffers […] usan la misma plantilla de ClickFix que imita a Google Meet”, señaló Sekoia. “Este descubrimiento sugiere que estos equipos comparten materiales, también conocidos como ‘proyecto de aterrizaje’, así como infraestructura.”
Esto, a su vez, ha planteado la posibilidad de que ambos grupos de amenazas estén utilizando el mismo servicio cibercriminal, aún desconocido, con un tercero que probablemente gestiona su infraestructura.
Ciberseguridad
Este desarrollo ocurre en medio del surgimiento de campañas de malware que distribuyen el infostealer de código abierto ThunderKitty, que comparte similitudes con Skuld y Kematian Stealer, así como nuevas familias de infostealers llamadas Divulge, DedSec (también conocido como Doenerium), Duck, Vilsa y Yunit.
“El auge de los infostealers de código abierto representa un cambio significativo en el mundo de las amenazas cibernéticas”, señaló la empresa de ciberseguridad Hudson Rock en julio de 2024.
“Al reducir la barrera de entrada y fomentar la innovación rápida, estas herramientas podrían alimentar una nueva ola de infecciones informáticas, planteando desafíos para los profesionales de la ciberseguridad y aumentando el riesgo general para empresas e individuos.”
English version
Threat actors are using fake Google Meet web pages as part of an ongoing malware campaign called ClickFix to deliver infostealers targeting Windows and macOS systems.
“This tactic involves displaying fake error messages in web browsers to deceive users into copying and executing malicious PowerShell code, eventually infecting their systems,” said French cybersecurity company Sekoia.
Variations of the ClickFix campaign (also known as ClearFake and OneDrive Pastejacking) have been widely reported in recent months, with threat actors using different lures to redirect users to bogus pages that aim to deploy malware by urging visitors to run encoded PowerShell code to resolve a supposed issue with displaying content in the web browser.
Cybersecurity
These pages are known to mimic popular online services, including Facebook, Google Chrome, PDFSimpli, and reCAPTCHA, and now also Google Meet and potentially Zoom. Examples of domains used include:
•meet.google.us-join[.]com
•meet.googie.com-join[.]us
•meet.google.com-join[.]us
•meet.google.web-join[.]com
•meet.google.webjoining[.]com
•meet.google.cdm-join[.]us
•meet.google.us07host[.]com
•googiedrivers[.]com
•us01web-zoom[.]us
•us002webzoom[.]us
•web05-zoom[.]us
•webroom-zoom[.]us
On Windows systems, the attack chain culminates in the deployment of StealC and Rhadamanthys stealers, while Apple macOS users are served a booby-trapped disk image file (“Launcher_v1.94.dmg”) that drops another stealer known as Atomic.
This emerging social engineering tactic is notable for cleverly evading detection by security tools, as it requires users to manually run the malicious PowerShell command directly in the terminal, rather than being automatically triggered by a payload they download and execute.
Sekoia has attributed the group impersonating Google Meet to two “traffers” teams: Slavic Nation Empire (aka Slavice Nation Land) and Scamquerteo, which are sub-teams within markopolo and CryptoLove, respectively.
“Both traffers teams […] use the same ClickFix template that impersonates Google Meet,” Sekoia said. “This discovery suggests that these teams share materials, also known as the ‘landing project,’ as well as infrastructure.”
This, in turn, has raised the possibility that both threat groups are using the same, as-yet-unknown cybercrime service, with a third party likely managing their infrastructure.
Cybersecurity
This development comes amid the rise of malware campaigns distributing the open-source ThunderKitty stealer, which shares overlaps with Skuld and Kematian Stealer, as well as new stealer families named Divulge, DedSec (aka Doenerium), Duck, Vilsa, and Yunit.
“The rise of open-source infostealers represents a significant shift in the world of cyber threats,” cybersecurity company Hudson Rock noted back in July 2024.
“By lowering the barrier to entry and fostering rapid innovation, these tools could fuel a new wave of computer infections, posing challenges for cybersecurity professionals and increasing the overall risk to businesses and individuals.”
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.