Expertos en seguridad han emitido una advertencia a los usuarios de Google Chrome tras descubrir un ciberataque dirigido al navegadorasí como microsoftSus aplicaciones Word y OneDrive.
El ataque utilizó mensajes de error falsos para engañar a los usuarios para que instalaran el software malicioso como una “solución”.
Los piratas informáticos envían notificaciones por correo electrónico y ventanas emergentes en sitios web, que afirman que el usuario ha experimentado un error de software y necesita una actualización urgente.
Para detectar una falsificación, los expertos aconsejan a los usuarios que tengan cuidado con los mensajes que afirman que necesitan instalar un “certificado raíz” copiando y pegando el código sin formato para realizar una reparación.
Si bien los ciberataques son capaces de robar todo tipo de datos digitales privados, algunos nuevos programas maliciosos han evolucionado para robar criptomonedas como Bitcoin.
Los piratas informáticos tienen un nuevo truco para introducir malware en su computadora: actualizaciones falsas del navegador Chrome de Google, así como de los productos Word y OneDrive de Microsoft.
La nueva y nefasta técnica de piratería fue descubierta por Proofpoint, la prolífica empresa de ciberseguridad fundada en 2002 por el ex director de tecnología de Netscape.
El nuevo estilo de ‘mensaje de error falso’, advierten, es ‘inteligente y podría ser una notificación de autorización del sistema operativo’.
El esquema incluye indicaciones aparentemente oficiales de los gigantes tecnológicos, Google y Microsoft, que piden a los usuarios que abran la versión de Microsoft de una herramienta de línea de comandos conocida como ‘shell de línea de comandos’, específicamente para Windows, PowerShell.
Las herramientas de línea de comandos, incluido Windows PowerShell, son programas diseñados para que codificadores más experimentados programen código nativo directamente en sus propias computadoras.
Los mensajes de error falsos de los piratas informáticos alientan a los usuarios involuntarios a copiar y pegar código sin formato y luego instalarlo como una “solución” ejecutando o “ejecutando” ese código en PowerShell.
Los expertos en seguridad cibernética solo han visto a estos piratas informáticos implementar este esquema particular de ‘solución falsa’ a través de PowerShell, por lo que los usuarios de Apple iOS deberían poder estar tranquilos por ahora.
El esquema consiste en indicaciones aparentemente oficiales, como la que se muestra arriba, que piden a los usuarios que abran un software conocido como “shell de línea de comandos” que permite a los programadores más experimentados programar sus computadoras de manera más directa e instalar un código “arreglado”. .
“Esta cadena de ataque requiere una importante interacción del usuario para tener éxito”, señaló la empresa. Sus puestos de asesoramiento Sobre las ciberamenazas basadas en PowerShell.
“Proporciona tanto el problema como la solución”, señalan, “para que el espectador pueda actuar rápidamente sin considerar los riesgos”.
Cualquier persona o mensaje que le solicite ejecutar código sin formato en una terminal o shell debe ser tratado con precaución y extrema sospecha, dijeron.
En todos los casos, estos piratas informáticos crearon sus mensajes de error falsos a través de una falla o vulnerabilidad inherente en el uso de JavaScript en archivos adjuntos de correo electrónico HTML o a través de sitios web en línea completamente comprometidos.
Se han documentado fallas falsas superpuestas en Google Chrome, Microsoft Word y OneDrive, y los investigadores de Proofpoint advierten que esta forma básica de pirateo podría presentarse como una solicitud de otras actualizaciones de software confiables en el futuro.
En todos los casos, explicaron los expertos en seguridad cibernética, los piratas informáticos crearon sus mensajes de error falsos utilizando JavaScript en archivos adjuntos de correo electrónico HTML o mediante fallas o vulnerabilidades en sitios web comprometidos. Arriba se muestra un ejemplo de mensajes falsos, esta vez disfrazados de mensajes de MS Word.
Se han documentado fallas falsas superpuestas en Google Chrome, Microsoft Word y OneDrive (el ejemplo que se muestra arriba), y los investigadores de Proofpoint advierten que esta forma básica de pirateo podría presentarse como otras solicitudes de actualización de software confiables en el futuro.
Según Proofpoint, dos interesantes programas maliciosos dieron pistas sobre las intenciones de los piratas informáticos.
Descarga y ejecuta un programa de minería de criptomonedas llamado XMRig con una configuración específica llamada ‘ma.exe’. El segundo, ‘cl.exe’, fue diseñado inteligentemente para reemplazar las direcciones de criptomonedas en el portapapeles de ‘cortar y pegar’ del usuario.
En esencia, ese segundo programa de malware tenía como objetivo engañar a las víctimas desprevenidas para que “transfirieran criptomonedas a una dirección controlada por un actor de amenazas en lugar de a la dirección prevista durante la transferencia”, dijo el equipo de Proofpoint.
Si un usuario copia y pega la dirección de una billetera de criptomonedas para enviar su dinero digital, este malware intercambiará silenciosamente esa dirección copiada por su propia dirección de billetera ficticia.
Si el hack tiene éxito, el usuario no se da cuenta del cambio y envía dinero en criptomonedas a la billetera ficticia anónima del hacker.
En abril, los expertos en seguridad vieron el uso de este nuevo método junto con el grupo de herramientas de piratería ClearFake, que se dirigió a los usuarios de Apple en noviembre pasado en lo que se describió como un virus de “aplastar y agarrar de un solo golpe”. Los nuevos hacks parecen estar diseñados principalmente para robar las criptomonedas de los usuarios.
En abril, los expertos en seguridad vieron el uso de este nuevo método junto con el grupo de herramientas de piratería ClearFake, que se dirigió a los usuarios de Apple en noviembre pasado en lo que se describió como un virus de “aplastar y agarrar de un solo golpe”.
El script malicioso PowerShell del hacker actúa como un troyano que permite a las víctimas descargar más códigos maliciosos en sus sistemas.
Primero, realiza varios diagnósticos para garantizar que el dispositivo host sea un objetivo válido.
Como prueba clave, los scripts maliciosos de PowerShell tomarán la temperatura del sistema de la computadora de la víctima para detectar si el malware se está ejecutando en una computadora real o en el llamado “sandbox”, una PC virtual aislada. y análisis de software potencialmente peligroso.
Si no se devolvían datos de temperatura al malware, ese hecho se interpretaba como información que revelaba que el código del hacker en realidad se estaba ejecutando en un entorno virtual o sandbox.
Luego, el malware saldrá y abortará sus operaciones, evitando que los piratas informáticos queden atrapados en la zona de pruebas para que los expertos realicen un estudio más detallado del código malicioso.
El equipo de Proofpoint aconseja a los usuarios que tengan cuidado al copiar y pegar código u otro texto de mensajes de sitios web o alertas de aplicaciones de software confiables.
“El software antivirus y el EDR (software de monitoreo de respuesta y detección de terminales)”, dijeron, “tuvieron problemas para verificar el contenido del portapapeles”.
La firma de ciberseguridad instó a las empresas a realizar capacitación sobre el tema y centrarse en la “detección y bloqueo”, lo que evitaría que estas y otras “correcciones falsas” similares aparezcan en primer lugar.
