Nuevo malware se propaga a través de sitios pirateados como actualización falsa del navegador

Malware ransomware virus

La mayoría de los ataques de malware se basan en engañar a los usuarios para que ejecuten un archivo ejecutable dañado, y los delincuentes en línea han encontrado muchas formas de hacerlo. Hay una nueva pieza de malware que circula en línea a través de sitios web pirateados que utiliza redireccionamientos sofisticados y JavaScript modificado para cargar una carga útil maliciosa en su computadora. Según Malwarebytes, probablemente haya miles de sitios afectados.

El ataque probablemente comenzó a fines del año pasado, y algunos operadores del sitio comenzaron a notar que algo estaba sucediendo en febrero. Los sitios que utilizan los sistemas de gestión de contenido de WordPress, SquareSpace y Joomla han sido el objetivo del grupo detrás de esta llamada 'campaña FakeUpdates'. Los atacantes modifican o reemplazan archivos JavaScript en el sitio para apuntar a los visitantes.

Cuando visite uno de estos sitios infectados, recibirá una notificación de actualización falsa (de ahí el nombre) que inicia la infección. Quizás se pregunte cómo este ataque pudo aparecer en miles de sitios web durante meses sin ser detectado hasta hace poco. Este es un ataque inteligente que usa un toque ligero con los visitantes de un sitio. Por un lado, solo sirve la notificación de actualización falsa una vez por dirección IP. La notificación de actualización (que es una URL redirigida) está diseñada para que coincida con su navegador. Entonces, los usuarios de Firefox obtienen una página sobre cómo ejecutar una versión anterior de Firefox, y es lo mismo para los usuarios de Chrome. También hay una versión para actualizaciones de Flash. El estilo de estas páginas parece perfecto.



Si caes en la falsa actualización, no obtienes un ejecutable. En su lugar, se entrega un archivo JavaScript malicioso desde Dropbox. La URL de Dropbox cambia con frecuencia para evitar la detección y el bloqueo. El script analiza el sistema de la víctima y le da al atacante flexibilidad para entregar la carga útil real. Si un sistema no es lo suficientemente atractivo, la secuencia de comandos puede cerrarse sin instalar malware.

El resultado final de una infección con la campaña FakeUpdates es que su sistema ejecuta el malware bancario Chtonic, que es una variante de ZeusVM. Eso le da al atacante el control total de un sistema, incluida la transferencia de archivos y el acceso remoto.

Ahora que el gato está fuera de la bolsa, los operadores del sitio y los sistemas CMS pueden comenzar a eliminar FakeUpdates de los sitios web. No desaparecerá de la noche a la mañana, y podría simplemente mutar para evitar la detección y volver más tarde. Lo mejor que puede hacer es no confiar nunca en las ventanas emergentes que le dicen que descargue algo, incluso si parecen legítimas. Descargue solo en sus propios términos.

Copyright © Todos Los Derechos Reservados | 2007es.com