Los investigadores advirtieron sobre una nueva campaña de estafa cibernética que utiliza actualizaciones falsas de Windows para engañar a las víctimas para que descarguen y ejecuten Aurora infostelaer en sus dispositivos.
Los expertos de Malwarebytes detectaron recientemente una campaña publicitaria maliciosa que aprovechaba los anuncios emergentes para entregar un malware. (se abre en una pestaña nueva) cargador.
Los anuncios emergentes son un tipo de anuncio que se carga debajo del navegador y solo es visible una vez que el usuario cierra o mueve el navegador fuera de la vista. Estos anuncios, que se publican principalmente en sitios web de contenido para adultos con un alto número de tráfico, se muestran en pantalla completa y le dicen al usuario que necesita actualizar su dispositivo. En esta campaña se utilizaron más de una docena de dominios, se dijo.
víctimas turcas
Aquellos que caigan en la trampa descargarían un archivo llamado ChromeUpdate.exe que, en realidad, es un cargador de malware llamado «Impresora no válida». Los investigadores dicen que Invalid Printer es un llamado cargador de malware «totalmente indetectable» (FUD), utilizado exclusivamente por este actor de amenazas en particular, aunque sin nombre. Una vez que la impresora no válida llegue al punto final de destino, primero verificará la tarjeta gráfica para ver si está instalada en una máquina virtual o en un espacio aislado. Si determina que el dispositivo es un objetivo legítimo, lo desempaquetará y lanzará una copia del robo de información de Aurora.
Aurora es una pieza de malware con “amplias capacidades” y baja detección antivirus, afirman sus creadores. En realidad, los programas antivirus tardaron algunas semanas en comenzar a marcar las instalaciones de Aurora como maliciosas, dijo Malwarebytes. Escrito en Golang, Aurora está a la venta en los foros de la dark web desde hace más de un año. En esta campaña en particular, se comprometieron unos 600 dispositivos, según creen los investigadores.
Según Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, la mayoría de las víctimas son turcas, ya que cada vez que se envía una nueva muestra a Virus Total, proviene de un usuario turco.
«En muchos casos, el nombre del archivo parecía recién salido del compilador (es decir, build1_enc_s.exe)», concluyó el investigador.
Vía: BleepingComputer (se abre en una pestaña nueva)