Un grupo de piratas informáticos ha estado utilizando páginas falsas de protección DDoS para engañar a los usuarios desprevenidos para que instalen malware, según la firma de seguridad cibernética Sucuri, propiedad de GoDaddy.
Los piratas informáticos están secuestrando sitios creados con WordPress para mostrar las páginas falsas de protección DDoS. Aquellos que visitan estos sitios ven una ventana emergente que se hace pasar por un servicio de protección DDoS de Cloudflare. Pero una vez que hacen clic en el mensaje, la ventana emergente descargará un archivo ISO malicioso en su PC.
El ataque explota cómo las páginas de protección DDoS a veces aparecen en los sitios web que intenta visitar, en un intento por evitar que los bots y otro tráfico web malicioso bombardeen el sitio web y eliminen el servicio. Los visitantes deben resolver una prueba de CAPTCHA para demostrar que son humanos.
(Crédito: Sucuri)
En este caso, los piratas informáticos ofrecen páginas falsas de protección DDoS agregando una línea de código JavaScript en los sitios de WordPress secuestrados. “Dado que este tipo de controles del navegador son tan comunes en la web, muchos usuarios no lo pensarían dos veces antes de hacer clic en este mensaje para acceder al sitio web que están tratando de visitar”, escribió el investigador de seguridad de Sucuri, Ben Martin.(Se abre en una nueva ventana) en una entrada de blog.
Específicamente, las páginas falsas de protección DDoS descargarán un archivo llamado “security_install.iso” en la computadora de la víctima. El sitio de WordPress mostrará una ventana emergente adicional que le pide al usuario que instale el archivo ISO para obtener un código de verificación.
(Crédito: Sucuri)
“Lo que la mayoría de los usuarios no se dan cuenta es que este archivo es, de hecho, un troyano de acceso remoto, actualmente marcado por 13 proveedores de seguridad.(Se abre en una nueva ventana) al momento de escribir este artículo”, dijo Martin. Esto significa que el troyano puede allanar el camino para que un pirata informático se haga cargo de forma remota de la computadora de la víctima.
Recomendado por Nuestros Editores
Según el proveedor de antivirus Malwarebytes, el archivo ISO es en realidad un malware llamado Netsupport RAT (troyano de acceso remoto), que se ha utilizado en ataques de ransomware. El mismo programa malicioso también puede instalar RacoonStealer(Se abre en una nueva ventana)que es capaz de recuperar contraseñas y otras credenciales de usuario de una PC infectada.
El incidente es un recordatorio para estar alerta cuando el navegador de su PC descargue un archivo misterioso, incluso de un servicio de seguridad web aparentemente legítimo. “Los actores maliciosos tomarán cualquier vía disponible para comprometer las computadoras y enviar su malware a las víctimas desprevenidas”, agregó Martin.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.