Malware disfrazado de actualizaciones de Chrome introducidas a través de sitios de pirateados

Los atacantes utilizan sitios corporativos pirateados y blogs de noticias que usan WordPress CMS para cargar malware, lo que se traduce en keyloggers, robo de información y envío de troyanos.

Después de obtener acceso de administrador a los sitios web de WordPress comprometidos, los piratas informáticos inyectan código JavaScript malicioso que redirige automáticamente a los visitantes a sitios de phishing.

Estas páginas de destino están diseñadas para parecerse a una página legítima de actualizaciones de Google Chrome, y son utilizadas por los atacantes para indicar a las víctimas potenciales que descarguen un update para su navegador.

Sin embargo, en lugar de una actualización de Chrome, se descargan instaladores de malware que infectan dispositivos y permiten a los operadores detrás de esta campaña tomar el control de sus computadoras de forma remota.

Una vez ejecutado, el instalador de malware suelta una instalación de TeamViewer y desarchiva dos archivos SFX protegidos con contraseña que contienen los archivos necesarios para abrir la página de actualización falsa y permitir conexiones remotas, así como un script utilizado por el malware para evitar restricciones de Windows.

El grupo detrás de este ataque «estuvo involucrado anteriormente en difundir un instalador falso del popular editor de video VSDC a través de su sitio web oficial y la plataforma de software CNET.

Mientras anteriormente, usaban los sitios comprometidos para entregar las cargas útiles finales, un troyano bancario y el ladrón de información KPOT, esta vez cambiaron a una infección más compleja que involucra un backdoor que les permite eliminar otro malware.

Los atacantes usan el backdoor para entregar X-Key Keylogger, el ladrón Predator The Thief y un troyano que los ayuda a controlar las computadoras infectadas a través del protocolo RDP.

Geolocalización utilizada para elegir objetivos

«La selección de objetivos se basa en la geolocalización y la detección del navegador. El público objetivo son los usuarios de Estados Unidos, Canadá, Australia, Gran Bretaña, Israel y Turquía, que usan el navegador Google Chrome», explican los investigadores.

«Vale la pena señalar que el archivo descargado tiene una firma digital válida idéntica a la firma del falso instalador NordVPN distribuido por el mismo grupo criminal».

Las actualizaciones falsas de Chrome vienen en forma de dos instaladores maliciosos diferentes llamados Critical_Update.exe y Update.exe, y el primero se ha descargado más de 2290 veces desde que se agregó al repositorio de bitbucket utilizado para la entrega de malware, mientras que el último ya se ha descargado. empujado más de 300 veces durante las últimas siete horas en las máquinas de los blancos desprevenidos.