Los investigadores de ciberseguridad de HP Wolf Security han advertido sobre varias campañas activas que buscan entregar diferentes tipos de malware. (se abre en una pestaña nueva) a víctimas desprevenidas a través de dominios typosquatted y publicidad maliciosa.
El equipo explicó en una publicación de blog. (se abre en una pestaña nueva) cómo encontraron a los actores de amenazas creando múltiples sitios web con errores tipográficos haciéndose pasar por software popular como Audacity, Blender o GIMP.
Los estafadores también pagaron a diferentes redes publicitarias para publicar anuncios, promocionando estos sitios web falsos. De esa manera, cuando las personas busquen estos programas, los motores de búsqueda podrían terminar mostrando versiones maliciosas de los sitios web junto a los legítimos. Si un usuario no tiene cuidado y no verifica dos veces la URL del sitio web que está visitando, podría terminar en el lugar equivocado.
Instaladores falsos
Si las víctimas terminan en el lugar equivocado, apenas notarán la diferencia. Los sitios web están diseñados para verse casi idénticos a los auténticos, hasta el más mínimo detalle. En el ejemplo de Audacity, el sitio aloja un archivo .exe malicioso que se hace pasar por el instalador del programa. Se llama «audacity-win-x64.exe» y tiene un tamaño de más de 300 MB.
Al ser tan grande, los atacantes intentan evitar despertar sospechas (el malware suele medirse en KB), pero también intentan evitar los programas antivirus. Según los investigadores, las funciones de escaneo automático de algunos programas antivirus no escanean archivos extremadamente grandes.
Los archivos están alojados en el servicio de almacenamiento en la nube 4sync.com, dijeron los investigadores, y agregaron que todos los instaladores falsos de esta campaña se han alojado allí, lo que sugiere que un buen mecanismo de defensa podría ser bloquear el acceso a este servicio por completo.
En la campaña se distribuyen diferentes tipos de malware. Las campañas más grandes que los investigadores han visto utilizaron este enfoque de entrega para implementar el troyano IcedID, pero se han observado el ladrón de información Vidar, BatLoader y Rhadamanthys Stealer. Según HP Wolf Security, ha habido un repunte en estas campañas desde noviembre del año pasado.