Una nueva y peligrosa campaña de ciberataques, identificada por Fortinet FortiGuard Labs y Zscaler ThreatLabz, se dirige a usuarios de habla china. La campaña utiliza una técnica de “envenenamiento del motor de búsqueda” o SEO Poisoning para distribuir malware peligroso como HiddenGh0st, Winos y una nueva variante llamada kkRAT.
¿Cómo funciona el ataque?
El ataque se aprovecha de la confianza en los resultados de búsqueda. Los cibercriminales manipulan los rankings para que sus sitios web maliciosos aparezcan en los primeros puestos. Estos sitios imitan a páginas legítimas y ofrecen instaladores falsos de software popular, como DeepL Translate, Google Chrome y WhatsApp.
Una vez que la víctima descarga y ejecuta el instalador malicioso, se inicia una cadena de infección:
- Descarga de malware: Un script malicioso, llamado
nice.js, se ejecuta y descarga la carga principal del malware. - Técnicas de evasión: Algunas campañas utilizan una técnica avanzada para deshabilitar el software antivirus. Piden privilegios de administrador y utilizan un “controlador vulnerable” para evadir las defensas.
- Ejecución del troyano: La carga final es un troyano de acceso remoto (RAT) como HiddenGh0st o kkRAT, que permiten a los atacantes controlar el sistema de forma remota.
Los peligros del nuevo malware kkRAT
El malware kkRAT es particularmente peligroso debido a sus capacidades avanzadas:
- Captura de pantalla: Permite a los atacantes ver la actividad del usuario en tiempo real.
- Manipulación del portapapeles: Puede modificar las direcciones de billeteras de criptomonedas para desviar fondos durante una transacción.
- Robo de datos: El malware tiene funcionalidades de escritorio remoto y ejecución de comandos, lo que permite a los atacantes robar datos sensibles y tomar el control total del sistema.
Recomendaciones
- Verifica el dominio: Antes de descargar cualquier software, revisa cuidadosamente el nombre del dominio en la barra de direcciones para asegurarte de que sea el sitio web oficial.
- Descarga de fuentes oficiales: Siempre descarga software directamente de los sitios web de los desarrolladores o de tiendas de aplicaciones de confianza. Evita los resultados de búsqueda y sitios de terceros.
- Mantén el software de seguridad actualizado: Asegúrate de que tu software antivirus y antimalware esté actualizado y funcionando correctamente.
- Ten cuidado con los permisos: No concedas privilegios de administrador a instaladores que no provengan de una fuente de confianza.
