Una infraestructura resistente que comprende más de 250 dominios utilizados para distribuir malware que roba información, como Raccoon y Vidar, desde principios de 2020.
La cadena de infección utiliza alrededor de un centenar de sitios web de catálogos de software descifrados falsos que se redirigen a varios enlaces antes de descargar la carga útil alojada en plataformas de intercambio de archivos como GitHub. Condujo a la distribución de software de robo de información como mapache y vidar
La empresa francesa de ciberseguridad accede a los dominios que son operados por un actor de amenazas que ejecuta un sistema de dirección de tráfico (TDS) que permite a otros ciberdelincuentes alquilar el servicio para distribuir su malware.
Los ataques tienen como objetivo a los usuarios que buscan versiones descifradas de software y juegos en motores de búsqueda como Google y, además, muestran sitios web fraudulentos aprovechando una técnica llamada optimización de motores de búsqueda que envenena para atraer a las víctimas para que descarguen y ejecuten las cargas maliciosas.
El resultado envenenado aparece con un enlace de descarga al software prometido que, al hacer clic, provocó la activación de una secuencia de redirección de URL de cinco etapas para llevar al usuario a una página web que muestra un enlace acortado que apunta a un archivo RAR protegido por contraseña que alojado en GitHub junto con su contraseña.
El uso de varias redirecciones condujo a la complicación del análisis automatizado por parte de las soluciones de seguridad. Es casi seguro que tallar la infraestructura como tal está diseñado para garantizar la resiliencia y hacer que sea más fácil y rápido actualizar o cambiar un paso.
La víctima descomprime el archivo RAR y ejecuta el supuesto ejecutable de instalación que contiene y cualquiera de las dos familias de malware que incluyen Raccoon o Vidar que están instaladas en el sistema.
El desarrollo que se presenta como Cyble detalló una campaña de Google Ads deshonesta que emplea software ampliamente utilizado como AnyDesk, Bluestacks, Notepad ++ y Zoom como señuelos para ofrecer un ladrón rico en funciones conocido como Rhadamanthys Stealer.
Se observa una variante alternativa de la cadena de ataque que aprovecha los correos electrónicos de phishing que se hacen pasar por extractos bancarios para engañar a los usuarios involuntarios para que hagan clic en enlaces fraudulentos.
Los sitios web fabricados que se hacen pasar por la popular solución de escritorio remoto también se han utilizado en el pasado para propagar un ladrón de información basado en Python denominado Mitsu Stealer.
Ambos programas maliciosos están equipados para desviar una amplia gama de información personal de máquinas comprometidas y recopilar credenciales de navegadores web y robar datos de varias billeteras de criptomonedas.
Se recomienda a los usuarios que eviten descargar software pirateado y apliquen la autenticación multifactor siempre que sea posible para fortalecer las cuentas.
Es importante que los usuarios tengan cuidado al recibir correos electrónicos no deseados o al visitar sitios web de phishing y que verifiquen la fuente antes de descargar cualquier aplicación.
Español de Colombia 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada