MADRID, 26 Jun. (Portlatic/EP) -
Investigadores han descubierto una campaña que distribuye el 'malware' ChromeLoader, que engaña a los usuarios para que instalen una extensión maliciosa de Chrome, que redirige a los usuarios a páginas web y campañas publicitarias fraudulentas.
HP recoge este 'software' malicioso en su informe trimestral HP Wolf Security Threat Insights, donde ha mostrado cómo los actores maliciosos llevan a cabo ataques a través del navegador Chrome dirigidos a usuarios que intentan descargar películas o videojuegos de sitios web piratas.
La compañía ha comentado que, hasta la fecha, los clientes de HP Wolf Security "han hecho clic en más de 30.000 millones de archivos adjuntos de correos electrónicos, páginas web y archivos descargados sin que se haya informado de ninguna infracción", según una nota de prensa.
A pesar de las soluciones de seguridad que desarrolla, la compañía ha reconocido que se siguen dando problemáticas como la distribución de la extensión de Chrome Shampoo, resultado de la campaña de 'malware' ChromeLoader, que engaña a los usuarios para que instalen una extensión maliciosa del navegador de Google que "es difícil de eliminar".
ChromeLoader es un 'software' malicioso que tiene por objetivo robar datos y secuestrar el navegador de las víctimas. Para ello, insta a los usuarios a descargar una extensión maliciosa del navegador de Google, Shampoo, que se hace con el control de Chrome.
Esta extensión se distribuye a través de páginas web de películas y videojuegos pirateados, una vez las víctimas descargan un VBScript malicioso, que simular ser una película, un videojuego o una descarga de contenido gratuito.
Una vez instalada en el equipo, Shampoo redirige las consultas de búsqueda a páginas web maliciosas, que extorsionan a los usuarios mediante campañas publicitarias fraudulentas. Según HP, esta amenaza es "muy persistente".
Esto se debe a que ejecuta un 'script' de PowerShell, que configura una tarea programada que hace que la infección sea persistente, por lo que cada 50 minutos se ejecuta uno nuevo, que descarga e instala la extensión maliciosa.
Una vez el usuario se conecta a una sesión de Google Chrome, ChromeLoader Shampoo empieza a enviar información confidencial sobre sus búsquedas y otros datos sensibles a un servidor de comando y control, conocido como C2.
FORMBOOK Y ARCHIVOS OCULTOS CON 'MALWARE'
Los investigadores también han comentado en este informe trimestral que los atcantes eluden las políticas de macros VBA, esto es, las instrucciones que se almacenan en el sistema para que se puedan ejecutar con seguridad.
Si bien las macros de fuentes no confiables ahora están deshabilitadas, HP ha detectado cómo algunos intentos de ataque trataban de eludir estos controles, comprometiendo una cuenta fiable de Office 365, configurando un nuevo correo electrónico de la compañía y distribuyendo un archivo de Excel malicioso que infecta a las víctimas con el 'infostealer' Formbook.
Por otra parte, la compañía ha recordado que las empresa deben tener cuidado con documentos de OneNote de origen desconocido, que pueden actuar como álbumes de recortes digitales, por lo que cualquier archivo puede adjuntarse dentro.
Es entones cuando los atacantes se aprovechan de ello para incrustar archivos maliciosos detrás de falsos iconos en los que insten a las víctimas a hacer clic en ellos. Una vez se ha hecho, se abre el archivo oculto y se ejecuta el 'malware' que da a los atacantes acceso al dispositivo del usuario.
Una vez lo consiguen, pueden recopilar toda la información de las víctimas para vendérsela a otros grupos de ciberdelincuentes y bandas de 'ranwomare', según ha recordado la compañía tecnológica.
HP también ha señalado que grupos sofisticados como Qakbot e IcedID introdujeron 'malware' por primera vez en archivos de OneNote el pasado mes de enero y que ahora los kits de esa aplicación "están disponibles en los mercados de la ciberdelincuencia" y que su uso no requiere especiales conocimientos técnicos. Esto indica que los agentes maliciosos podrán seguir haciendo uso de este 'software' malicioso "en los próximos meses".
En sus conclusiones finales, HP ha determinado que los archivos fueron el tipo de entrega de 'malware' más popular (un 42%) por cuarto trimestre consecutivo y que las amenazas de contrabando de HTML aumentaron un 37 por ciento en el primer trimestre frente al cuarto.
Por otra parte, la compañía ha dicho que las amenazas PDF aumentaron 4 puntos en el primer trimestre frente al cuarto y que se produjo un descenso de 6 puntos en el 'malware' de Excel en el primer trimestre frente al cuarto.
HP ha señalado también que el 14 por ciento de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de 'gateway' de correo electrónico en el primer trimestre de 2023.
Finalmente, ha dicho que durante el trimestre analizado, el principal vector de amenazas fue el correo electrónico (en un 80% de los casos), seguido de las descargas del navegador (un 13%).