Sitio antivirus falso que propaga malware para Android y Windows


24 de mayo de 2024Sala de prensa Publicidad maliciosa / Seguridad de terminales

Se ha observado que los actores de amenazas utilizan sitios web falsos que se hacen pasar por soluciones antivirus legítimas de Avast, Bitdefender y Malwarebytes para difundir malware que roba información confidencial de dispositivos Android y Windows.

“Alojar software malicioso a través de sitios que parecen legítimos es una explotación para los consumidores en general, especialmente aquellos que buscan proteger sus dispositivos de ataques cibernéticos”, afirmó Gurumoorthi Ramanathan, investigador de seguridad de Trellix Ta.

La lista de sitios web se encuentra a continuación:

descarga segura de avast[.]com se utiliza para distribuir el troyano SpyNote en forma de un archivo de paquete de Android (“Avast.apk”). Una vez instalado, solicita permisos intrusivos para leer sus mensajes SMS y su historial de llamadas, instalar y eliminar aplicaciones, tomar capturas de pantalla, rastrear su ubicación e incluso extraer criptomonedas. aplicación bitdefender[.]com se utiliza para entregar un archivo ZIP (‘setup-win-x86-x64.exe.zip’) que implementa malwarebytes, un malware de robo de información de Lumma.[.]pro se utiliza para entregar un archivo RAR (‘MBSetup.rar’) que implementa el malware de robo de información StealC.

La firma de ciberseguridad dijo que también descubrió un binario Trellix malicioso llamado AMCoreDat.exe. Esto sirve como conducto para eliminar malware de robo que tiene la capacidad de recopilar información de la víctima, incluidos datos del navegador, y exfiltrarlos a un servidor remoto.

Actualmente no está claro cómo se distribuyen estos sitios web falsos, pero campañas similares en el pasado han utilizado técnicas como publicidad maliciosa y envenenamiento por optimización de motores de búsqueda (SEO).

El malware ladrón se está convirtiendo en una amenaza cada vez más común, y los ciberdelincuentes promueven numerosas variantes personalizadas con distintos niveles de complejidad. Esto incluye nuevos ladrones como Acrid, SamsStealer, ScarletStealer y Waltuhium Grabber, así como actualizaciones de ladrones existentes como SYS01stealer (también conocido como Album Stealer o S1deload Stealer).

“El hecho de que de vez en cuando aparezcan nuevos ladrones, combinado con el hecho de que varían ampliamente en funcionalidad y sofisticación, muestra la demanda de ladrones en el mercado criminal”, dijo Kaspersky en un informe reciente.

A principios de esta semana, la firma rusa de ciberseguridad también reveló detalles sobre la campaña de malware Gipy, que aprovecha la popularidad de las herramientas de inteligencia artificial (IA) promoviendo generadores de voz de IA falsos a través de sitios web de phishing.

Una vez instalado, Gipy puede alojar de todo, desde programas de robo de información (Lumma, RedLine, RisePro, LOLI Stealer), mineros de criptomonedas (Apocalypse ClipBanker), troyanos de acceso remoto (DCRat y RADXRat), puertas traseras (TrueClient) hasta cargas de malware de terceros en GitHub. alojado en .

La medida se produce después de que los investigadores descubrieran un nuevo troyano bancario de Android llamado Antidot que falsifica las actualizaciones de Google Play y explota la accesibilidad de Android y las API de MediaProjection para facilitar el robo de información.

“Funcionalmente, Antidot es capaz de registrar teclas, ataques de superposición, exfiltración de SMS, captura de pantalla, robo de credenciales, control de dispositivos y ejecución de comandos recibidos de un atacante”, dijo Symantec, propiedad de Broadcom, en un boletín.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/05/fake-antivirus-websites-deliver-malware.html