Se cree que una organización cibercriminal conocida como Black Cat está involucrada en campañas de envenenamiento de optimización de motores de búsqueda (SEO) que utilizan sitios fraudulentos que promocionan software popular para engañar a los usuarios para que descarguen puertas traseras que pueden robar datos confidenciales.
Según un informe publicado por el Equipo/Centro de Coordinación de Tecnología de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT/CC) y Beijing Weiwu Online (también conocido como ThreatBook), la operación está diseñada estratégicamente para impulsar sitios falsos a la cima de los resultados de búsqueda en motores de búsqueda como Microsoft Bing, apuntando específicamente a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
«Los usuarios que visitan estas principales páginas de phishing son dirigidos a páginas de descarga cuidadosamente construidas donde intentan descargar paquetes de instalación de software incluidos con programas maliciosos», dijeron CNCERT/CC y ThreatBook. «Una vez instalado, el programa incorpora un caballo de Troya de puerta trasera sin el conocimiento del usuario, lo que permite al atacante robar datos confidenciales de la computadora host».
Black Cat ha estado activo desde al menos 2022 y se le atribuye haber orquestado una serie de ataques destinados al robo de datos y el control remoto mediante malware distribuido a través de campañas de envenenamiento de SEO. En 2023, el grupo supuestamente se hizo pasar por AICoin, una popular plataforma de comercio de criptomonedas, y robó al menos 160.000 dólares en criptomonedas.
En la última ronda de ataques, los usuarios que buscan Notepad++ reciben un enlace a un sitio de phishing convincente que pretende estar relacionado con el programa de software (‘cn-notepadplusplus(.)com’). Otros dominios registrados por Black Cat incluyen «cn-obsidian(.)com», «cn-winscp(.)com» y «notepadplusplus(.)cn».
La presencia de «cn» en el nombre de dominio indica que los atacantes se dirigen específicamente a usuarios chinos que pueden estar buscando dichas herramientas a través de motores de búsqueda.
Si un usuario desprevenido hace clic en el botón «descargar» en el sitio web falso, será redirigido a otra URL que imita a GitHub («github.zh-cns(.)top») desde donde puede descargar el archivo ZIP. Dentro del archivo ZIP hay un instalador que crea un acceso directo en el escritorio del usuario. Este acceso directo actúa como punto de entrada para descargar una DLL maliciosa e iniciar una puerta trasera.
El malware establece una conexión con un servidor remoto codificado (‘sbido(.)com:2869’) que le permite robar datos del navegador web del host comprometido, registrar pulsaciones de teclas y extraer contenidos del portapapeles y otra información valiosa.
CNCERT/CC y ThreatBook señalaron que el sindicato de delitos cibernéticos Black Cat comprometió aproximadamente 277.800 hosts en toda China entre el 7 y el 20 de julio de 2025, lo que eleva el mayor número diario de máquinas comprometidas en el país a 62.167.
Para reducir el riesgo, se recomienda a los usuarios que no hagan clic en enlaces de fuentes desconocidas y que descarguen software de fuentes confiables.
Source link
