El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña en la cual utilizan instaladores troyanizados para desplegar el malware FatalRAT. Los mismos son distribuidos a través de sitios web maliciosos incluidos en anuncios que aparecen en los resultados de búsqueda de Google.
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de malware que apunta a sudeste y este de Asia mediante la compra de anuncios engañosos para que aparezcan en los resultados de búsqueda de Google y que conducen a la descarga de instaladores troyanizados. Los atacantes desconocidos crearon sitios web falsos con una apariencia idéntica a la de Firefox, WhatsApp o Telegram, pero además de proporcionar el software legítimo, también descargan FatalRAT, un troyano de acceso remoto (RAT, por sus siglas en inglés) que otorga al atacante el control de la computadora comprometida.
Puntos clave de esta publicación:
-
Los atacantes compraron anuncios para posicionar sus sitios web maliciosos en la sección “patrocinada” de los resultados de búsqueda de Google. Desde ESET se informó de estos anuncios a Google y se eliminaron de inmediato.
-
Los sitios web y los instaladores descargados de estos sitios están en su mayoría en chino y, en algunos casos, ofrecen falsas versiones de software en chino que no están disponibles en China.
-
Se observaron víctimas principalmente en el sudeste y este de Asia, lo que sugiere que los anuncios estaban dirigidos a esa región.
-
Se observaron ataques entre agosto de 2022 y enero de 2023, pero según la telemetría de ESET, se han utilizado versiones anteriores de los instaladores desde al menos mayo de 2022.
-
Ninguno de los programas maliciosos o la infraestructura de red utilizada en esta campaña se ha asociado con actividades conocidas de ningún grupo mencionado, por lo que, por ahora, no se ha atribuido esta actividad a ningún grupo conocido.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |