La creciente dependencia de herramientas de comunicación en línea como Zoom, Skype y Google Meet ha transformado la forma en que trabajamos, aprendemos y nos conectamos. Sin embargo, esta dependencia también ha abierto la puerta a nuevos riesgos cibernéticos, específicamente, a la amenaza de sitios web falsificados diseñados para distribuir malware. La sofisticación de estos sitios fraudulentos puede engañar incluso a los usuarios más precavidos, lo que subraya la importancia de estar informado y preparado.
Desde diciembre de 2023, ciberdelincuentes han estado explotando sitios web fraudulentos que promocionan populares plataformas de videoconferencia como Google Meet, Skype y Zoom, con el objetivo de infectar dispositivos Android y Windows con diversos tipos de malware.
Investigadores han identificado que estos ciberatacantes están diseminando troyanos de acceso remoto (RAT), entre ellos SpyNote RAT para Android, así como NjRAT y DCRat para usuarios de Windows.
Estos sitios engañosos, muchos de los cuales están en idioma ruso, se alojan en dominios cuyos nombres imitan estrechamente a los oficiales, empleando técnicas de typosquatting para engañar a los usuarios y hacerles descargar software malicioso.
Los visitantes de estos sitios se encuentran con opciones para descargar aplicaciones para Android, iOS y Windows. Al seleccionar la opción de Android, se inicia la descarga de un archivo APK malicioso; mientras que elegir la opción de Windows desencadena la descarga de un script malintencionado. Este último inicia un script de PowerShell que facilita la descarga y ejecución del RAT.
Curiosamente, parece que los usuarios de iOS están a salvo por ahora, ya que el enlace para esta plataforma redirige a los usuarios hacia la auténtica aplicación de Skype en la App Store de Apple. Los especialistas en seguridad advierten que estos ataques tienen como fin último robar información sensible, registrar la actividad del teclado y sustraer archivos importantes de las víctimas.
Sitios falsificados de Zoom, Skype y Google Meet
Te podrá interesar: Análisis de Malware con Wazuh
Este hallazgo llega paralelamente a la revelación hecha por el Centro de inteligencia de seguridad de AhnLab (ASEC), que reportó la aparición de un nuevo malware, denominado WogRAT, que afecta tanto a sistemas Windows como Linux. Este virus se vale de una plataforma gratuita de notas en línea, conocida como aNotepad, para esconder y distribuir código dañino.
Se informa que este malware ha estado activo desde finales de 2022, centrando sus ataques en países asiáticos como China, Hong Kong, Japón y Singapur. Hasta ahora, los métodos específicos de distribución del malware permanecen sin clarificar.
ASEC explica que, tras su activación inicial, WogRAT recolecta y transmite información básica del sistema infectado a un servidor de comando y control (C&C). Este malware es capaz de ejecutar una serie de acciones maliciosas, incluyendo la ejecución de comandos, el envío de los resultados obtenidos, la descarga de archivos adicionales y la subida de estos a servidores remotos.
Conoce más sobre: WogRAT: Malware usa Bloc de Notas Online para Almacenar Virus
Paralelamente, se ha observado una serie de campañas de phishing a gran escala, dirigidas por un grupo cibercriminal conocido como TA4903, con el objetivo de sustraer credenciales corporativas y posiblemente preparar el terreno para futuros ataques de compromiso del correo electrónico empresarial (BEC). Este grupo ha estado activo desde 2019, con un notable incremento en sus actividades desde mediados de 2023.
Según Proofpoint, TA4903 ha estado falsificando identidades de varias entidades gubernamentales de EE. UU. para robar credenciales corporativas, además de imitar a organizaciones de distintos sectores, incluidos la construcción, las finanzas, la salud, y la alimentación y bebidas.
Las tácticas de ataque de este grupo incluyen el uso de códigos QR para phishing, conocido como "quishing", y la explotación del kit de phishing EvilProxy, que actúa en el medio (adversary-in-the-middle, AiTM) para sortear las protecciones de autenticación de dos factores (2FA).
Una vez que logran comprometer una cuenta de correo objetivo, los atacantes buscan información relacionada con pagos, facturas e información bancaria, con el objetivo final de infiltrarse en hilos de correo electrónico existentes para cometer fraude con las facturas.
Además, las campañas de phishing de este grupo han servido como canal para la distribución de otras familias de malware, como DarkGate, Agent Tesla y Remcos RAT. Este último utiliza técnicas de esteganografía para ocultar y ejecutar el malware en los sistemas comprometidos.
Podría interesarte leer: Nueva Técnica de IDAT: Esteganografía eleva Amenaza Remcos RAT
Estar alerta y conocer las señales de advertencia puede ser crucial para detectar y evitar ser víctima de estos ataques de suplantación. Algunos indicadores clave incluyen:
Errores ortográficos y gramaticales: Los mensajes fraudulentos a menudo contienen errores que rara vez se encontrarían en comunicaciones oficiales.
URLs sospechosas: Antes de hacer clic en cualquier enlace, revisa cuidadosamente la URL para asegurarte de que corresponda con el dominio oficial de la plataforma.
Solicitudes no solicitadas: Sé escéptico ante cualquier solicitud inesperada de información personal o acciones inusuales, especialmente si provienen de una "fuente oficial".
La mejor defensa contra los ataques de suplantación es una combinación de tecnología de seguridad actualizada, educación y prácticas de seguridad conscientes. Aquí hay algunas estrategias clave para protegerse:
Verificación de dos pasos: Siempre que sea posible, activa la verificación de dos pasos en todas tus cuentas. Esto añade una capa extra de seguridad, dificultando que los atacantes accedan a tu cuenta incluso si tienen tu contraseña.
Educación en seguridad cibernética: Informarse y estar al día sobre las últimas tácticas de phishing y suplantación puede ayudarte a reconocer los intentos de fraude.
Uso de software de seguridad: Instala y mantén actualizado un software de seguridad de buena reputación, como el SOC as a Service de TecnetOne, que pueda detectar y bloquear correos electrónicos de phishing y enlaces maliciosos.
Políticas de seguridad en la empresa: Las organizaciones deben implementar políticas de seguridad que incluyan la capacitación regular de los trabajadores en reconocimiento de phishing y suplantación, así como procedimientos para reportar incidentes sospechosos.
Podría interesarte: Importancia de la Concienciación en Seguridad Cibernética
A medida que la dependencia de plataformas de comunicación en línea como Zoom, Skype y Google Meet continúa creciendo, también lo hace el ingenio de los ciberdelincuentes en sus intentos por explotar la confianza de los usuarios. La suplantación de identidad se ha convertido en una amenaza significativa en el espacio digital, pero con la debida diligencia, educación y herramientas de seguridad, podemos fortalecer nuestras defensas contra estos ataques maliciosos. La seguridad en línea es una responsabilidad compartida; estar informados y alerta es el primer paso hacia una navegación más segura y protegida.