A los piratas informáticos les encanta engañar a sus víctimas para que hagan cosas que de otro modo no harían, y los nuevos ataques de malware que circulan actualmente en línea son un ejemplo perfecto de ello.
BleepingComputer informa que los piratas informáticos están utilizando errores falsos de Google Chrome y Microsoft Word para engañar a las víctimas potenciales para que ejecuten “arreglos” maliciosos de PowerShell y, de hecho, instalen malware.
Esta campaña en particular es tan efectiva que varios grupos de piratas informáticos (incluido el grupo detrás de ClearFake, un nuevo grupo llamado ClickFix y el grupo TA571) la están utilizando en sus ataques.
Aquí encontrará todo lo que necesita saber sobre esta nueva campaña de malware y cómo evitar ser víctima de la ingeniería social utilizada para infectar su PC con Windows con malware.
Del arreglo al fracaso
(Fuente de la imagen: Proofpoint)
Al igual que las campañas anteriores de ClearFake, esta nueva campaña utiliza superposiciones para mostrar errores falsos de Chrome y Word. Luego se pide a las víctimas potenciales que hagan clic en un botón de copia que contiene “soluciones” para estos errores falsos. A continuación, debe pegar este código copiado en el cuadro de diálogo Ejecutar de Windows o en el indicador de Powershell.
En un nuevo informe que destaca las diferentes cadenas de ataque utilizadas en esta campaña, Proofpoint revela que los sitios web comprometidos utilizaron el contrato Smart Chain de Binance para cargar scripts maliciosos alojados en la cadena de bloques y explica que también se utiliza para infectar PC con Windows vulnerables con malware.
El script realiza varias comprobaciones antes de mostrar una advertencia falsa de Google Chrome que indica que hay un problema al mostrar la página web en cuestión. Desde aquí, aparecerá un cuadro de diálogo pidiendo al visitante que copie un script de PowerShell y lo ejecute en la consola de Windows PowerShell (Administrador) para instalar un “certificado raíz”.
Cuando se ejecuta, este script de PowerShell realiza comprobaciones adicionales para garantizar que el dispositivo en cuestión sea un objetivo válido antes de descargar cargas útiles adicionales, como malware que roba información.
Por último, también existen cadenas de infección basadas en correo electrónico que utilizan archivos adjuntos HTML que se parecen a los documentos de Word. Esta cadena solicita a las víctimas potenciales que instalen la extensión “Word Online” para ver el documento, pero al igual que otras cadenas de ataque utilizadas en esta campaña, la “solución” también debe copiarse y pegarse en PowerShell.
En esta cadena de ataque, un comando de PowerShell descarga y ejecuta un archivo MSI o un script VBS para infectar la PC objetivo con malware Matanbuchus o DarkGate.
Cómo protegerse del malware de Windows
(Imagen cortesía de Tom’s Guide)
Las tres cadenas de ataque diferentes utilizadas en esta campaña se basan en el hecho de que la mayoría de los usuarios de Windows desconocen los riesgos que implica ejecutar comandos desconocidos de PowerShell en sus PC. Por lo tanto, nunca debe copiar ni ejecutar código a menos que comprenda completamente lo que está haciendo.
De manera similar, debe asegurarse de que Windows Defender esté habilitado y ejecutándose en su PC. Windows Defender puede detectar malware lanzado por estos scripts maliciosos de PowerShell. Para obtener aún más protección, considere utilizar uno de los mejores paquetes de software antivirus junto con las herramientas de seguridad integradas de Microsoft. Sobre todo porque estas herramientas suelen venir con funciones adicionales como VPN y administradores de contraseñas.
Deténgase y piense por un momento antes de hacer algo en línea, como esta campaña que utiliza superposiciones para engañar a víctimas potenciales. Los piratas informáticos a menudo intentan inyectar un sentido de urgencia en sus ataques, obligándolos a actuar sin pensar. En su lugar, lea el mensaje con atención y búsquelo en línea para ver si es genuino. Incluso si no puede encontrar la información en línea, el mejor curso de acción casi siempre es no hacer nada.
Los ataques de superposición son muy efectivos porque a menudo parecen originarse en el software que estás utilizando actualmente. Sin embargo, saber cómo funcionan los ataques de superposición y a qué prestar atención puede ayudar a mantener seguros sus dispositivos y datos.
Más artículos de La guía de Tom
Las mejores ofertas de seguridad premium de Bitdefender de hoy
Fuente: https://www.tomsguide.com/computing/malware-adware/hackers-are-using-fake-chrome-word-and-onedrive-errors-to-trick-people-into-installing-malware-how-to-stay-safe