Algunos atacantes utilizan los servicios de reuniones en línea como cebo para el malware. Los investigadores de Zscaler encontraron sitios web falsos de Skype, Zoom y Google Meet que utilizaban los actores de amenazas para difundir troyanos de acceso remoto (RAT, por sus siglas en inglés).
El equipo ThreatLabZ de Zscaler advierte sobre sitios de reuniones en línea falsos que distribuyen varias familias de malware. Ya a principios de diciembre de 2023, los investigadores descubrieron un actor de amenazas que crea sitios web falsos de Skype, Google Meet y Zoom para difundir malware con el fin de difundir troyanos de acceso remoto como SpyNote RAT a usuarios de Android y NjRAT y DCRat a usuarios de Windows. Estas páginas siguen apareciendo en nuevas versiones.
🔎 La cadena de ataque y el flujo de ejecución para campañas de Android y Windows (Imagen: Zscaler).
Direcciones web engañosamente reales como trampa
El actor de malware utilizó alojamiento web compartido y alojó todos los sitios web falsos para reuniones en línea en una única dirección IP. Las URL de los sitios web falsos eran muy similares a las reales, por lo que los falsos no se pueden reconocer a simple vista. Cuando un usuario visita uno de los sitios web falsos, al hacer clic en el botón de Android se iniciará la descarga de un archivo APK malicioso. Sin embargo, al hacer clic en el botón correspondiente de Windows, se activa la descarga de un archivo BAT. Cuando se ejecuta, el archivo BAT proporciona acciones adicionales que, en última instancia, dan como resultado la descarga de una carga útil RAT.
Sitios web falsos con Skype
Durante su investigación, los investigadores de seguridad descubrieron que el primer sitio web falso y ahora bloqueado, "join-skype[.]info", se creó a principios de diciembre para engañar a los usuarios para que descargaran una aplicación de Skype falsa.
El botón de Windows apuntaba a un archivo llamado "Skype8.exe" y el botón de Google Play apuntaba a "Skype.apk". El botón de la App Store de Apple solo redirigió a la página original de Skype para iOS, lo que indica que el actor de la amenaza no apuntó a los usuarios de iOS con su malware.
Páginas de reunión incorrectas para Google Meet y Zoom
A finales de diciembre, el atacante creó otro sitio web falso que imitaba a Google Meet. La página falsa de Google Meet estaba alojada con la subruta “gry-ucdu-fhc” visible. Fue creado intencionalmente para parecerse a un enlace para unirse a Google Meet. Los expertos también encontraron una página de Zoom falsa a finales de enero de 2024. Su URL contenía una subruta muy similar a una ID de reunión generada por el cliente Zoom.
RAT – Los troyanos de acceso remoto estaban listos
Los actores de amenazas se dirigen a empresas con esta campaña y utilizan servicios de reuniones en línea conocidos y populares como cebo para difundir RAT para Android y Windows. Estos troyanos de acceso remoto son capaces de robar información confidencial, registrar pulsaciones de teclas o desviar archivos.
Estos hallazgos resaltan la necesidad de medidas de seguridad sólidas para proteger contra amenazas en evolución, así como la importancia de actualizaciones periódicas y parches de seguridad. Zscaler Cloud Sandbox reconoce las muestras por su comportamiento y hace referencia a técnicas MITRE ATT&ACK específicas que se activan durante el análisis.
Más en ZScaler.com
Acerca de Zscaler Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.