¿Chrome te pide actualizar? Piénsalo dos veces antes de permitirle hacerlo

Las falsas actualizaciones de navegadores se utilizan activamente para distribuir troyanos de acceso remoto (RAT) y otro malware como BitRAT y Lumma Stealer (también conocido como LummaC2).

Según un informe recientede la empresa de ciberseguridad eSentire, las falsas actualizaciones de navegadores conducen a numerosas infecciones de malware, incluido el conocido SocGholish. En abril de 2024, se observó la distribución del malware FakeBat a través de mecanismos similares de actualizaciones falsas.

El ataque comienza cuando una víctima potencial visita un sitio web infectado que contiene código JavaScript que redirige a los usuarios a una página de actualización de navegador falsa («chatgpt-app[.]cloud»). Esta página contiene un enlace para descargar un archivo ZIP («Update.zip») alojado en la plataforma Discord, que se descarga automáticamente en el dispositivo de la víctima.

El uso de Discord como vector de ataque se está volviendo cada vez más común: un análisis reciente de Bitdefender reveló más de 50,000 enlaces peligrosos que distribuyen malware, campañas de phishing y spam en los últimos seis meses.

El archivo ZIP contiene un archivo JavaScript («Update.js») que inicia la ejecución de scripts de PowerShell. Estos scripts descargan cargas adicionales, incluyendo BitRAT y Lumma Stealer, desde un servidor remoto en forma de archivos PNG.

También se descargan scripts de PowerShell para la persistencia y un cargador basado en.NET utilizado para ejecutar la etapa final del malware. Los expertos de eSentire especulan que el cargador se comercializa como un «servicio de entrega de malware», ya que se utiliza para distribuir tanto BitRAT como Lumma Stealer.

BitRAT es un RAT multifuncional que permite a los atacantes recopilar datos, extraer criptomonedas, descargar binarios adicionales y controlar de forma remota los dispositivos infectados. Mientras tanto, Lumma Stealer, disponible por $250-1000 al mes desde agosto de 2022, puede capturar información de navegadores web, monederos criptográficos y otras fuentes.

eSentire señala que el cebo de la falsa actualización del navegador se ha convertido en un método popular para ingresar a dispositivos y redes, demostrando la capacidad de los ciberdelincuentes para usar nombres confiables para maximizar el alcance y el impacto.

Estos ataques a menudo emplean técnicas de drive-by download y malvertising. Un informe reciente de ReliaQuest describe una nueva variante de la campaña ClearFake, en la que se engaña a los usuarios para que copien y ejecuten manualmente código de PowerShell malicioso, haciéndolo pasar por una actualización del navegador.

Los actores maliciosos utilizan páginas web falsas que afirman que «se produjo un error al mostrar esta página web» y les piden que instalen un certificado raíz siguiendo una serie de pasos, incluyendo copiar y ejecutar código PowerShell oculto.

Una vez ejecutado, el código PowerShell realiza varias funciones, incluyendo limpiar la caché DNS, mostrar un mensaje, descargar más código PowerShell e instalar el malware «LummaC2».

Lumma Stealer se convirtió en uno de los robadores de información más difundidos en 2023, junto con RedLine y Raccoon. Los registros obtenidos con LummaC2 que se pusieron a la venta aumentaron un 110% entre el tercer y cuarto trimestre de 2023. El alto éxito de LummaC2 se debe a su eficacia para infiltrarse en sistemas y extraer datos confidenciales sin ser detectado.

Como parte de sus esfuerzos de defensa, los especialistas de eSentire pudieron detectar rápidamente la actividad sospechosa y aislar el dispositivo infectado en el sistema del cliente. Los indicadores de compromiso de las amenazas detectadas se pueden ver aquí.

Este incidente subraya la importancia de aumentar la concienciación de los usuarios sobre la autenticidad de las notificaciones de actualización y la necesidad de descargar actualizaciones únicamente de fuentes confiables.