Campaña distribuye malware en películas piratas

Los servicios de películas y series streaming gratuitos han visto un fuerte aumento en su tráfico debido a la pandemia, nicho perfecto para el actuar de los ciberdelincuentes. La campaña afecta principalmente a Chile, México y España.

La principal puerta de entrada, de acuerdo a investigadores de Microsoft, son los torrents de películas pirateadas.

«Aunque en muchas partes del mundo se está prohibiendo y bloqueando la descarga vía torrent, los ciberatacantes están prestando atención al aumento en el uso de servicios de transmisión pirata y descargas de torrents», afirmó el equipo de Microsoft Security Intelligence.

«Vimos una campaña activa de minería de monedas que inserta un VBScript malicioso en archivos ZIP que se hacen pasar por descargas de películas».

Los atacantes detrás de esta campaña están dirigidos principalmente a usuarios domésticos a empresas de España y algunos países sudamericanos con el objetivo final de cargar un monedero en la memoria de los dispositivos comprometidos.

El VBScript malicioso se camufla como películas populares de Hollywood como John Wick: Capítulo 3 – Parabellum, y se entrega utilizando nombres de archivo como «John_Wick_3_Parabellum» y «contagio-1080p», así como títulos en español «Punales_por_la_espalda_BluRay_1080p», «La_hija_de_un_lad_lad_lad_lad_lad_lad_lad_lad_lad_lad , «y» Lo-dejo-cuando-quiera «.

Después de que los objetivos inician el VBScript en sus computadoras, descargan cargas maliciosas adicionales en segundo plano al abusar de los binarios (LOLbins), como la herramienta BITSAdmin de línea de comandos legítima.

Uno de estos componentes de malware adicionales es un script AutoIT que decodifica una DLL de segunda etapa en la memoria del equipo infectado, que luego cargará reflexivamente una tercera DLL que inyecta código de extracción de monedas en un proceso notepad.exe, a través del proceso de vaciado.

«El uso de descargas de torrents es consistente con nuestra observación de que los atacantes están reutilizando técnicas antiguas para aprovechar la crisis actual», agregó Microsoft.

Las películas nominadas al Oscar se utilizan para enviar Phishing

Los atacantes también se están aprovechando del hype en torno a las películas nominadas al Oscar de este año en febrero como señuelos preparados y diseñados para infectar a los usuarios con malware, y además atraerlos a sitios fraudulentos para robar información confidencial y financiera.

Sin embargo, esto no es nada nuevo, ya que las películas que producen revuelo mediático, y los programas de televisión famosos, se usan con frecuencia como señuelos de ingeniería social, prometiéndole al usuario vistas previas anticipadas de la obra audiovisual. Se observan en forma de archivos maliciosos disfrazados como adelantos inéditos, o sitios de transmisión falsos (sitios de películas online).

Investigadores de Kaspersky que descubrieron esos ataques de phishing «encontraron más de 20 sitios web de phishing y 925 archivos maliciosos que se presentaron como películas gratuitas, solo para atacar al usuario».

«Sin embargo, como siempre se aprovechan de algo cuando se convierte en una tendencia candente, dependen de la demanda de los usuarios y la disponibilidad real de los archivos», agregaron desde la firma de seguridad.

La recomendación es no utilizar sitios de películas y series online piratas, son una telaraña de malware y buscan siempre obtener información confidencial a través de formularios fraudulentos.