Los actores de amenazas están aprovechando páginas web falsas de Google Meet como parte de una campaña de malware en curso denominada Hacer clic en arreglar para entregar ladrones de información dirigidos a sistemas Windows y macOS.
“Esta táctica implica mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios para que copien y ejecuten un determinado código PowerShell malicioso, infectando finalmente sus sistemas”, dijo la empresa francesa de ciberseguridad Sekoia en un informe compartido con The Hacker News.
En los últimos meses se han informado ampliamente sobre variaciones de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking), con actores de amenazas que emplean diferentes señuelos para redirigir a los usuarios a páginas falsas que tienen como objetivo implementar malware instando a los visitantes del sitio a ejecutar un código PowerShell codificado para abordar un Supuesto problema con la visualización de contenido en el navegador web.
Se sabe que estas páginas se hacen pasar por servicios en línea populares, incluidos Facebook, Google Chrome, PDFSimpli y reCAPTCHA, y ahora Google Meet y, potencialmente, Zoom.
- Meet.google.us-unirse(.)com
- Meet.googie.com-únete(.)nosotros
- Meet.google.com-únete(.)nosotros
- Meet.google.web-unirse(.)com
- Meet.google.webjoining(.)com
- Meet.google.cdm-únete(.)nosotros
- Meet.google.us07host(.)com
- controladores googie(.)com
- us01web-zoom(.)nosotros
- nosotros002webzoom(.)nosotros
- web05-zoom(.)nosotros
- zoom de sala web(.)nosotros
En Windows, la cadena de ataque culmina con el despliegue de los ladrones StealC y Rhadamanthys, mientras que los usuarios de Apple macOS reciben un archivo de imagen de disco con trampa (“Launcher_v1.94.dmg”) que arroja otro ladrón conocido como Atomic.
Esta táctica emergente de ingeniería social se destaca por el hecho de que evade hábilmente la detección por parte de las herramientas de seguridad, ya que implica que los usuarios ejecuten manualmente el comando malicioso de PowerShell directamente en el terminal, en lugar de ser invocado automáticamente mediante una carga útil descargada y ejecutada por ellos.
Sekoia ha atribuido el grupo que se hace pasar por Google Meet a dos grupos de traficantes, a saber, Slavic Nation Empire (también conocido como Slavice Nation Land) y Scamquerteo, que son subequipos dentro de markopolo y CryptoLove, respectivamente.
“Ambos equipos de comerciantes (…) utilizan la misma plantilla ClickFix que se hace pasar por Google Meet”, dijo Sekoia. “Este descubrimiento sugiere que estos equipos comparten materiales, también conocido como ‘proyecto de aterrizaje’, así como infraestructura”.
Esto, a su vez, ha planteado la posibilidad de que ambos grupos de amenazas estén haciendo uso del mismo servicio de cibercrimen, aún desconocido, y que probablemente un tercero administre su infraestructura.
El desarrollo se produce en medio de la aparición de campañas de malware que distribuyen el ladrón de código abierto ThunderKitty, que comparte superposiciones con Skuld y Kematian Stealer, así como nuevas familias de ladrones llamadas Divulge, DedSec (también conocido como Doenerium), Duck, Vilsa y Yunit.
“El aumento de los ladrones de información de código abierto representa un cambio significativo en el mundo de las amenazas cibernéticas”, señaló la empresa de ciberseguridad Hudson Rock en julio de 2024.
“Al reducir la barrera de entrada y fomentar la innovación rápida, estas herramientas podrían impulsar una nueva ola de infecciones informáticas, planteando desafíos para los profesionales de la ciberseguridad y aumentando el riesgo general para las empresas y los individuos”.
