Sitios falsos de Microsoft Store y Spotify difunden malware que roba información

Ciberatacantes están promocionando sitios que se hacen pasar por Microsoft Store, Spotify y un convertidor de documentos en línea que distribuye malware para robar tarjetas de crédito y contraseñas guardadas en los navegadores web.

El ataque fue descubierto por la firma de ciberseguridad ESET, quien emitió una advertencia en Twitter para estar atento a la campaña maliciosa.

Por ejemplo, uno de los anuncios utilizados en este ataque promueve una aplicación de Ajedrez en línea, como se muestra a continuación.

Anuncio malicioso que promociona una aplicación de ajedrez falsa

Sin embargo, cuando los usuarios hacen clic en el anuncio, se les dirige a una página falsa de Microsoft Store para una aplicación de ajedrez en línea falsa ‘xChess 3’, que se descarga automáticamente desde un servidor de Amazon AWS.

El archivo zip descargado se llama ‘xChess_v.709.zip’ [ VirusTotal ], que en realidad es el malware ‘Ficker’ o ‘FickerStealer’, que roba información disfrazado, como se muestra en este  informe Any.Run  creado por BleepingComputer.

Otros anuncios de esta campaña de malware pretenden ser de Spotify (que se muestran a continuación) o un convertidor de documentos en línea. Cuando se visitan, sus páginas de destino también descargarán automáticamente un archivo zip que contiene el malware Ficker.

Página de inicio falsa de Spotify

Página de inicio falsa de Spotify

Una vez que un usuario descomprime el archivo e inicia el ejecutable, en lugar de ser recibido por una nueva aplicación de ajedrez en línea o el software Spotify, el malware Ficker se ejecutará y comenzará a robar los datos almacenados en su computadora.

¿Qué es el malware Ficker?

Ficker es un troyano que roba información lanzado en los foros de hackers de habla rusa en enero cuando el desarrollador comenzó a alquilar el malware a otros actores de amenazas.

En una publicación del foro, el desarrollador describe las capacidades del malware y permite a otros actores de amenazas alquilar el software a cualquier persona desde una semana hasta seis meses.

Una publicación en el foro que comercializa el malware FickerStealer

Una publicación en el foro que comercializa el malware FickerStealer

Con este malware, los actores de amenazas pueden robar credenciales guardadas en navegadores web, clientes de mensajería de escritorio (Pidgin, Steam, Discord) y clientes FTP.

Además de robar contraseñas, el desarrollador afirma que el malware puede robar más de quince carteras de criptomonedas, robar documentos y tomar capturas de pantalla de las aplicaciones activas que se ejecutan en las computadoras de las víctimas.

Luego, esta información se compila en un archivo zip y se transmite al atacante, donde luego pueden extraer los datos y usarlos para otras actividades maliciosas.

Debido a la amplia funcionalidad del malware Ficker, las víctimas de esta campaña deben cambiar inmediatamente sus contraseñas en línea, verificar los firewalls en busca de reglas de reenvío de puertos sospechosas y realizar un análisis antivirus completo de su computadora para buscar malware adicional.