Detectan nueva ciberamenaza escondida en publicidad ‘apps’ de gran popularidad

Un grupo de investigadores ha identificado una serie de ataques maliciosos que propagan el ‘malware’ Bumblebee para instalar ‘ransomware’ en dispositivos de usuarios y de organizaciones, aprovechándose de páginas falsas de aplicaciones populares como Zoom o ChatGPT, divulgadas a través de anuncios infectados en línea de Google.

Bumblebee es un programa malicioso que los ciberdelincuentes utilizan como una herramienta de carga de ‘ransomware’ en los dispositivos de usuarios, es decir, una forma de secuestro de datos que, normalmente, es distribuido a través de ataques de ‘phishing’. En concreto, Bumblebee es un reemplazo del ‘malware’ conocido como BazarLoader.

En este marco, investigadores de SecureWorks han identificado varios casos de ataques con el ‘malware’ Bumblebee recientes que, en esta ocasión, se difunden a través de anuncios infectados en línea, como los anuncios de Google, según han informado desde SecureWorks Counter Threat Unit (CTU) en un comunicado en su blog.

En concreto, en las campañas de ataques que han identificado, los anuncios maliciosos estaban vinculados a aplicaciones populares a las que los usuarios recurren habitualmente como Cisco AnyConnect, Zoom o ChatGPT.

Así, los ciberdelincuentes utilizan este gancho para engañar a los usuarios que buscan instalar estos ‘softwares’ legítimos y, sin saberlo, instalan Bumblebee a través de páginas de descarga falsas que promueven estos anuncios maliciosos para, posteriormente, acceder a su sistema e implementar ‘ransomware’.

Uno de los ataques con Bumblebee analizado por los investigadores, que tuvo lugar en el mes de febrero, empleaba una página web falsa que suplantaba el servicio de Cisco AnyConnect (http: //appcisco. com/vpncleint/cisco-anyconnect-4_9_0195.msi).

Según explican, el ciberdelincuente diseñó esa página web de descarga falsa de Cisco AnyConnect Secure Mobility a la que se accedía mediante un anuncio malicioso que se distribuía en los resultados de Google, y que enviaba a los usuarios a la página de descarga falsa a través de un sitio de WordPress en donde estaba alojado el peligroso malware.

En la página de descarga falsa se encuentra el archivo cisco-anyconnect-4_9_0195.msi, que es un instalador MSI (MIcrosoft Windows Installer). En él, se incluyen dos archivos más con el nombre FILE_InstallMeCisco y FILE_InstallMeExe, que se copian en la carpeta de instalación y se ejecutan.

El archivo FILE_InstallMeCisco es un instalador legítimo de la aplicación Cisco AnyConnect que instala la aplicación real en el dispositivo para hacer creer al usuario que se ha instalado la ‘app’ correctamente y sin peligros.

Sin embargo, el archivo FILE_InstallMeExe es un ‘script’ de PowerShell (una solución de automatización de tareas). Este último archivo incluye una carga útil de ‘malware’ Bumblebee codificada que se carga reflexivamente en la memoria del dispositivo, según han especificado los investigadores de CTU.

Una vez todo ello instalado, los actores maliciosos tiene la posibilidad de actuar sobre el equipo atacado por un periodo de tiempo de alrededor de tres horas después de la infección y, entre otras acciones, desplegaron herramientas de acceso remoto como AnyDesk para controlar el dispositivo.

Asimismo, los ciberdelincuentes utilizaron otras herramientas para realizar ataques de Kerberoasting, que se aprovechan del protocolo de autenticación de redes del ordenador Kerberos para recolectar credenciales de la base de datos de Active Directory.

Los investigadores encontraron el mismo ‘modus operandi’ en otros casos con instaladores de ‘software’ y un nombre de ‘script’ de PowerShell relacionados, como es el caso de Zoom, que utilizaba ZoomInstaller.exe y zoom.ps1, o ChatGPT, que utilizaba ChatGPT.msi y chch.ps1.

De cara a evitar estos ataques, los investigadores de CTU han recomendado a las organizaciones y a los usuarios revisar que los instaladores y las actualizaciones de los programas se descarguen únicamente de sitios web de confianza.

De acuerdo con expertos en ciberseguridad, en los últimos meses se han detectado un incremento de casos de hackers a sueldo que ejecutan diferentes tipos de ciberataques contra diferentes entidades, para así robar información clasificada.

Según un informe de Imperva, compañía especializada en ciberseguridad, actualmente se ha desarrollado una economía basada en la ciberdelincuencia como servicio, la cual está financiada con monedas digitales que son imposibles de rastrear.

Gracias a esta situación, una persona que no tenga conocimientos en informática puede contratar un ataque contra un sitio web específico o una aplicación que cuente con un elevado tráfico de usuarios. Por esa razón, expertos recomiendan implementar acciones para reforzar la seguridad cibernética de las entidades, realizando mejoras en términos de infraestructura y en pedagogía para los trabajadores o colaboradores.

En el mundo digital moderno, la inversión en ciberseguridad es fundamental, pues los datos se han convertido en un activo de gran valor para el desarrollo de diferentes actividades.

Con información de Europa Press