Los investigadores de ciberseguridad están revelando campañas maliciosas que utilizan la tecnología de adicción de optimización de motores de búsqueda (SEO) para proporcionar un cargador de malware conocido llamado Oyster (también conocido como Broomstick o Cleanupplroader).
La actividad de malvertimiento por lobo ártico promueve sitios web falsos que alojan versiones trailerizadas de herramientas legales como Putty y WinsCP, y tiene como objetivo buscar estos programas e instalarlos en su lugar.
«En el momento de la ejecución, se instaló una puerta trasera conocida como Oyster/Broomstick», dijo la compañía en un asunto simple que se lanzó la semana pasada.
«La permanencia indica que crea una tarea programada que se ejecuta cada 3 minutos, ejecuta una DLL maliciosa (TWAIN_96.DLL) a través de RunDll32.exe utilizando DllRregisterServer Export y use el registro de DLL como parte del mecanismo de persistencia».
Algunos nombres de sitios web falsos se enumeran a continuación –
updaterputty (.) com zephyrhype (.) com futty (.) Run Putty (.) Bet, y Puttyy (.) Org
Se sospecha que los actores de amenaza detrás de la campaña se dirigen a otras herramientas de TI para entregar malware, y es esencial que los usuarios se adhieran a fuentes de confianza y sitios de proveedores oficiales para descargar el software que necesitan.
Esta divulgación se utiliza para buscar resultados de juegos relacionados con palabras clave relacionadas con la IA y para difundir el cargador Vidar, Lumma y Legion.
Estos sitios web están equipados con código JavaScript que verifica la presencia de bloqueadores de anuncios y recopila información del navegador de la víctima, y eventualmente lanzará una cadena de redireccionamiento que lleva a la víctima a una página de phishing que aloja el archivo Zip.
«La página de descarga final para esta campaña ofrece a Vidar Stealer y Lumma Stealer como archivos ZIP protegidos con contraseña, con contraseñas proporcionadas en la página de descarga final», dijo Zscaler Amenazlabz. «Cuando se extrae, contiene un instalador NSIS de 800 MB. Este es un sistema de detección de derivación, con un tamaño aparentemente grande destinado a parecer legal con los límites del tamaño del archivo».
El instalador NSIS se utiliza para ejecutar el script de automóvil que es en última instancia responsable de lanzar la carga útil Steeler. En contraste, el mecanismo de entrega de Legion Loader aprovecha el instalador MSI para implementar malware a través de scripts por lotes.
Se ha observado que las campañas similares de adicción a SEO plantean páginas de phishing cuando los usuarios buscan los nombres de aplicaciones web populares, Forge Cloudflare Captcha verifica páginas para soltar Redline Stealer a través del cargador de Hijack.
Las pequeñas y medianas empresas (SMB) están cada vez más atacadas por ataques cibernéticos que proporcionan malware disfrazado de herramientas de colaboración como OpenAI ChatGPT, Deepseek, Cisco AnyConnect, Cisco, Google Drive, Microsoft Office, Microsoft Teams, Microsoft Teams y Salesftforce, de acuerdo con datos compilados por Kaspersky.
«Solo en enero-abril de 2025, aproximadamente 8.500 PYME fueron atacadas por ataques cibernéticos en los que el malware o el software potencialmente no deseado estaban disfrazados como estas herramientas populares», dijo la compañía de seguridad cibernética rusa.
Zoom representa alrededor del 41%del número total de archivos únicos, seguido del 16%de Outlook y PowerPoint, respectivamente, seguido de una palabra al 12%, 9%y un equipo al 5%. En los primeros cuatro meses de 2025, el número de archivos maliciosos únicos que imitan el chatgpt aumentó en un 115% a 177.
La tendencia a abusar de las listas de motores de búsqueda falsos para usar usuarios implícitos para usuarios populares es una táctica bien conocida, pero una campaña reciente ha secuestrado las búsquedas de páginas de soporte técnico vinculadas a Apple, Bank of America, Facebook, HP, Microsoft, Netflix y PayPal.
«Los visitantes son llevados a la sección de ayuda/soporte del sitio web de la marca, pero en lugar de un número de teléfono real, el secuestrador mostrará el número de estafador», dice Malwarebytes.
Esto se logra mediante una técnica llamada inyección de parámetros de búsqueda, que muestra números bajo el control del atacante dentro de la barra de búsqueda, da la impresión de que son resultados de búsqueda oficiales dentro de la página del Centro de ayuda y los engaña a llamar a usuarios no sospechosos.
Lo que hace que el ataque sea particularmente insidioso es que los parámetros agregados a la derecha del dominio del centro de ayuda real (por ejemplo, «Llame ***-**-** gratis») no son visibles en los resultados de búsqueda patrocinados.
No es solo la plataforma publicitaria de Google. Los actores de amenaza también se han puesto al día con el evento anual vinculado a PI2day, ofreciendo anuncios falsos para Phish en Facebook para la frase de recuperación de la billetera de criptomonedas, junto con la comunidad de redes PI.
El malware se extiende a través de anuncios que alientan a los usuarios a instalar nuevas versiones de la aplicación PI Network Desktop para Windows, robar credenciales almacenadas y claves de billetera criptográfica, registrar la entrada del usuario y descargar cargas útiles adicionales.
La firma rumana de ciberseguridad Bitdefender dijo que la actividad podría ser el trabajo de un actor de una sola amenaza «, implementando esquemas de fraude paralelo en el meta para maximizar el alcance, las ganancias financieras y la eficiencia de focalización».
Se ha encontrado que los sitios web falsos que se hacen pasar por la IA, los servicios de VPN y otras marcas de software conocidas proporcionan cargadores llamados Paseidon Stealer y Payday Loader en los sistemas MacOS. Esta actividad ha sido llamada Codenamen Dark Partner por el investigador de seguridad G0NJXA.
El cargador de día de pago se basa en los enlaces del calendario de Google para extraer los servidores de comando y control (C2) y recuperar el código JavaScript ofuscado diseñado para cargar la carga útil de Lumma y los datos sensibles al sifón, confiando como un resolución de caída muerta.
Curiosamente, la dirección de correo electrónico utilizada para crear el evento del calendario de Google («eceverridelfin@gmail (.) Com» también se descubrió en relación con un paquete de NPM malicioso llamado «OS-Info-Checker-ES6», lo que indica que los actores asociados de Dark probablemente están experimentando con diferentes mecanismos de entrega.
«El cargador de día de pago tiene un módulo de robador de nodo.js para eliminar los datos de la billetera de criptomonedas del C2 externo», dijo G0NJXA. «Utilizando la biblioteca ADM-ZIP en Node.js, el cargador de día de pago puede encontrar, empaquetar y enviar información de billetera a hosts C2 codificados».
Estas campañas trabajan con el fenómeno en curso en el que los estafadores y los cibercriminales establecen una amplia red de miles de sitios web para cometer fraude financiero al falsificar marcas populares y promover productos reales que nunca se ofrecen. Tal red se llama Ghostvendors por Silent Push, y ha comprado un espacio de anuncios de Facebook para promocionar más de 4,000 sitios incompletos.
Los anuncios maliciosos del mercado de Facebook se ejecutan durante varios días, luego se detienen, eliminando efectivamente todos sus huellas de la biblioteca de meta publicidad. Vale la pena señalar que Meta ha permanecido solo publicidad en asuntos sociales, elecciones y política durante los últimos siete años.
«Esto nos ayudó a garantizar que haya políticas conocidas de la biblioteca de meta publicidad y destacó que estos actores de amenaza pueden estar aprovechando esto lanzando y deteniendo rápidamente anuncios para productos similares en varias páginas».
Otra red descubierta por empresas dirigidas a compradores ingleses y españoles con anuncios de mercado falsos está siendo calificada como el trabajo de los actores de amenaza china. Estos sitios web están diseñados principalmente para robar información de la tarjeta de crédito ingresada en las páginas de pago mientras insisten en procesar su pedido. Algunos sitios falsos también incluyen un widget de compra de Google Pay para habilitar los pagos.
«Esta campaña del mercado falso está dirigido principalmente a los consumidores con la amenaza de phishing que aprovecha la fama de las principales marcas, organizaciones conocidas y varias figuras políticas», dijo Silent Push.
Source link
