Ciberatacantes están promocionando sitios que se hacen pasar por Microsoft Store, Spotify y un convertidor de documentos en línea que distribuye malware para robar tarjetas de crédito y contraseñas guardadas en los navegadores web. El ataque fue descubierto por la firma de ciberseguridad ESET, quien emitió una advertencia en Twitter para estar atento a la campaña maliciosa. […]
Ciberatacantes están promocionando sitios que se hacen pasar por Microsoft Store, Spotify y un convertidor de documentos en línea que distribuye malware para robar tarjetas de crédito y contraseñas guardadas en los navegadores web.
El ataque fue descubierto por la firma de ciberseguridad ESET, quien emitió una advertencia en Twitter para estar atento a la campaña maliciosa.
Por ejemplo, uno de los anuncios utilizados en este ataque promueve una aplicación de Ajedrez en línea, como se muestra a continuación.
Sin embargo, cuando los usuarios hacen clic en el anuncio, se les dirige a una página falsa de Microsoft Store para una aplicación de ajedrez en línea falsa ‘xChess 3’, que se descarga automáticamente desde un servidor de Amazon AWS.
El archivo zip descargado se llama ‘xChess_v.709.zip’ [ VirusTotal ], que en realidad es el malware ‘Ficker’ o ‘FickerStealer’, que roba información disfrazado, como se muestra en este informe Any.Run creado por BleepingComputer.
Otros anuncios de esta campaña de malware pretenden ser de Spotify (que se muestran a continuación) o un convertidor de documentos en línea. Cuando se visitan, sus páginas de destino también descargarán automáticamente un archivo zip que contiene el malware Ficker.
Una vez que un usuario descomprime el archivo e inicia el ejecutable, en lugar de ser recibido por una nueva aplicación de ajedrez en línea o el software Spotify, el malware Ficker se ejecutará y comenzará a robar los datos almacenados en su computadora.
Ficker es un troyano que roba información lanzado en los foros de hackers de habla rusa en enero cuando el desarrollador comenzó a alquilar el malware a otros actores de amenazas.
En una publicación del foro, el desarrollador describe las capacidades del malware y permite a otros actores de amenazas alquilar el software a cualquier persona desde una semana hasta seis meses.
Con este malware, los actores de amenazas pueden robar credenciales guardadas en navegadores web, clientes de mensajería de escritorio (Pidgin, Steam, Discord) y clientes FTP.
Además de robar contraseñas, el desarrollador afirma que el malware puede robar más de quince carteras de criptomonedas, robar documentos y tomar capturas de pantalla de las aplicaciones activas que se ejecutan en las computadoras de las víctimas.
Luego, esta información se compila en un archivo zip y se transmite al atacante, donde luego pueden extraer los datos y usarlos para otras actividades maliciosas.
Debido a la amplia funcionalidad del malware Ficker, las víctimas de esta campaña deben cambiar inmediatamente sus contraseñas en línea, verificar los firewalls en busca de reglas de reenvío de puertos sospechosas y realizar un análisis antivirus completo de su computadora para buscar malware adicional.
Pulse Secure ha compartido medidas de mitigación para una vulnerabilidad de omisión de autenticación de día cero en el dispositivo VPN SSL Pulse Connect Secure (PCS), explotado activamente en ataques contra organizaciones mundiales y centrado en las redes de base industrial de defensa de EE.UU.