Recurren a la ingeniería social para que convencerte de hacerles el trabajo
Los ciberdelincuentes llevan un tiempo utilizando falsas notificaciones de Google Chrome en sitios web legítimos hackeados para engañar a los usuarios e inducirles a ejecutar scripts maliciosos de PowerShell. Esta táctica ha sido identificada por la firma de seguridad Proofpoint, que advierte sobre su creciente popularidad.
Proofpoint ha observado que este método requiere una interacción considerable por parte del usuario, lo cual hace que la ingeniería social detrás de la falsa notificación sea crucial para el éxito del ataque...
...la notificación falsa no solo parece legítima, sino que también proporciona al usuario tanto el 'problema' como la 'solución', facilitando que el usuario tome una acción rápida sin cuestionar el riesgo.
Un método de engaño ingenioso
Según los informes de Proofpoint, los atacantes 'infectan' sitios web legítimos, inyectando en ellos código HTML y JavaScript malicioso. Cuando los usuarios visitan estos sitios comprometidos, se les presenta una notificación falsa que parece provenir de Google Chrome, pero que en realidad es un elemento de la propia web hackeada.
Esta notificación alerta de un supuesto problema con la visualización del sitio web y sugiere la instalación de un "certificado raíz" como solución. Para instalar este certificado, la notificación instruye a los usuarios a copiar y pegar un código en el terminal de PowerShell de Windows.
El peligro del malware
En realidad, el código proporcionado es un script malicioso de PowerShell que, una vez ejecutado, instala diversos tipos de malware en el sistema de la víctima, incluyendo infostealers... que pueden robar contraseñas, credenciales de inicio de sesión y otros datos sensibles, y enviárselos a los atacantes.
Además de robar información, el malware también puede cambiar direcciones de carteras de criptomonedas en el portapapeles del usuario. Esto significa que cuando un usuario intenta realizar una transacción de criptomonedas, la dirección del destinatario puede ser reemplazada por la del atacante, desviando así los fondos.
Desafíos en la detección
La detección de estas amenazas es particularmente difícil debido a la manera en que se ejecutan los scripts maliciosos: el uso del portapapeles y la introducción manual del código en la terminal por parte del usuario complican la tarea de los softwares antivirus.
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario