Una nueva investigación de Check Point Research muestra que se observa que atacantes desconocidos utilizan publicaciones pagas y promocionadas en sitios web de noticias legítimos para generar rumores sobre su warez.
Los actores de amenazas también tienen a su disposición páginas de phishing de WordPress dedicadas que actúan como centros centrales junto con proyectos de GitHub y SourceForge promovidos por cuentas falsas, canales de YouTube y grupos de cuentas que participan en actividades coordinadas en VirusTotal con el propósito de clasificar falsamente archivos maliciosos como seguros.
«Para impulsar sus ‘herramientas’ maliciosas, Check Point tomó prestadas las mismas estrategias que las marcas legítimas usan para generar expectación: números inflados de descargas, reseñas coordinadas de cinco estrellas, videos tutoriales estilo influencer y promoción en plataformas en las que la gente confía instintivamente», dijo Check Point en un informe compartido con Hacker News. «El resultado es una economía de reputación falsa que se extiende por todas las plataformas que una víctima curiosa podría consultar antes de hacer clic en ‘descargar'».
El objetivo final de la campaña es impulsar el secuestrador de portapapeles de criptomonedas oculto en los robots de francotirador Solana y Pump.fun y en los predictores de fallos de juegos, lo que sugiere que se dirige a los poseedores de activos de criptomonedas y a los jugadores en línea que buscan atajos y ganancias rápidas.
El cortapelos basado en Rust apunta a sistemas Windows y macOS y monitorea continuamente el portapapeles en busca de contenido que coincida con los patrones de direcciones de billeteras de criptomonedas. Una vez que se encuentra una coincidencia, el malware reemplaza la dirección de la billetera con una dirección controlada por el atacante obtenida de una lista codificada, enrutando efectivamente los activos digitales hacia ellos.
Lo notable de esta operación es que utiliza redes fantasma para contaminar sistemas basados en la reputación como VirusTotal, con el objetivo de reducir las sospechas y aumentar la confianza de las víctimas en los archivos maliciosos mediante una combinación de votos a favor y comentarios muy positivos.
Este comportamiento también se extiende a GitHub, donde los actores de amenazas operan al menos seis cuentas de GitHub para realizar promoción cruzada y distribuir malware. Estas señales potenciadas sintéticamente están diseñadas para adormecer a los usuarios con una falsa sensación de seguridad y confianza. Un repositorio de este tipo tiene 146 estrellas y 62 bifurcaciones.
«En SourceForge, el contador de descargas llegó a 44.485 y hubo 37.460 descargas sospechosas que parecían provenir de dispositivos Android, a pesar de que el desarrollador sólo ofrece versiones para Windows y macOS», explicó Check Point. «Una explicación plausible es que utiliza una granja de Android para aumentar artificialmente el número de descargas en SourceForge».
Además, la solución de software se promociona a través de un canal de YouTube dedicado con más de 91.000 suscriptores. El canal se lanzó en julio de 2020 y sus operadores afirman que tiene «fines estrictamente educativos únicamente». Los vídeos de estilo tutorial cuentan con un narrador generado por IA y comentarios positivos, lo que refuerza la ilusión de popularidad y credibilidad.
Quizás el aspecto más inusual de esta campaña es que los atacantes utilizan servicios de distribución de comunicados de prensa como EIN Presswire para promover las capacidades de la herramienta. Luego, el comunicado de prensa se distribuyó a través de los sitios web de noticias asociados al servicio, principalmente USA TODAY Network.
«Manipular el sentimiento y la reputación en plataformas colaborativas representa un cambio importante en la forma en que los atacantes generan confianza», afirmó Check Point. «Las mismas estrategias de falsa reputación y promoción agresiva entre plataformas pueden facilitar que los ladrones de información y el ransomware se distribuyan a objetivos de mayor valor con el tiempo».
Source link
