Un enorme malware (se abre en una pestaña nueva) Se ha detectado una campaña de distribución que aprovecha más de 200 dominios maliciosos y se hace pasar por más de dos docenas de marcas globales para distribuir todo tipo de malware tanto para Android (se abre en una pestaña nueva) y sistemas operativos Windows.
Los investigadores de ciberseguridad de Cyble detectaron por primera vez la campaña que buscaba distribuir varios programas maliciosos entre los usuarios de Android.
En la campaña, los actores de amenazas desconocidos establecieron innumerables dominios que parecen casi idénticos a los dominios reales que pertenecen a las principales marcas como PayPal, SnapChat, TikTok y otras. Los dominios solo tienen un carácter que es diferente, falta o sobra.
Usuarios de Android y Windows atacados
Este tipo de fraude suele denominarse “typosquatting” y se utiliza en todo tipo de ataques, por ejemplo, en GitHub, donde los atacantes crean repositorios con nombres casi idénticos a los repositorios legítimos, para intentar distribuir malware.
BleepingEquipo luego amplió esta investigación para encontrar muchos otros dominios que también distribuyen malware entre los usuarios de Windows. Se desconoce el método de publicidad exacto para estos dominios, pero la publicación sugiere que son las propias víctimas las que escriben mal los dominios en sus dispositivos o los actores de amenazas que participan en phishing y otras formas de ingeniería social. Sin embargo, no debemos olvidar el envenenamiento de SEO.
También se determinó que los actores de amenazas utilizaron esta gran campaña de typosquatting para entregar todo tipo de malware. En algunos casos, estaban distribuyendo el Vidar Stealer, y en otros, el Agente Tesla. Vidar es capaz de robar información bancaria, contraseñas almacenadas, historial de navegación, direcciones IP, detalles sobre billeteras de criptomonedas y, en algunos casos, también información de MFA. El agente Tesla, descubierto por primera vez hace unos ocho años, es capaz de robar credenciales de muchas aplicaciones populares, incluidos navegadores web, software VPN y FTP y clientes de correo electrónico.
Los investigadores creen que los actores de amenazas actualmente están experimentando con diferentes variantes de malware hasta que vean cuál funciona mejor. Además del malware, los investigadores también encontraron el ethersmine[.]com que intenta robar frases semilla para las billeteras Ethereum de las personas.
Vía: BleepingComputer (se abre en una pestaña nueva)