Alertan de una campaña maliciosa dirigida a empresas

Los actores de amenazas están usando las búsquedas en motores de búsqueda conocidos para sus actividades maliciosas contra empresas y clientes corporativos.

Según advierte la compañía de ciberseguridad Bitdefender en un post, los cibermalos están creando sitios webs falsos para software de alto interés que promocionan en la parte superior de la página de resultados a través de anuncios.

De esa manera, solo es necesaria una búsqueda y hacer un click para que los usuarios piquen.

En estas páginas falsas además del software que se anuncia, el archivo ISO malicioso cuenta con un archivo ZIP que contiene un ejecutable de Python. Una DLL cargada por el proceso python.exe se configura para ejecutar un código malicioso en la forma de un controlador de etapas Meterpreter, lo que les da a los atacantes acceso a la computadora de la víctima.

Los investigadores han encontrado más artefactos relacionados con la campaña, la cual habría arrancado en mayo de 2023. Desde finales de dicho mes los cibermalos han usado con éxito ese tipo de ataque.

Aplicaciones imitadas

Los archivos ISO maliciosos se distribuyeron mediante anuncios maliciosos que se hacían pasar por páginas de descarga de apps empresariales, como AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize y otras.

“Esta campaña de publicidad maliciosa conduce a la propagación de la infección después de la exposición inicial. Mientras permanezcan en la red de la víctima, el objetivo principal de los atacantes es obtener credenciales, configurar la persistencia en sistemas importantes y exfiltrar datos, con la extorsión como objetivo final. También se han encontrado tentativas de implementar el ransomware BlackCat”, señalan desde Bitdefender.

Según indica la compañía de seguridad, los atacantres parecen estar centrándose en organizaciones de Norteamérica. Hasta el momento han identificado seis empresas objetivo en EE.UU y Canadá.