En el constante juego del gato y el ratón que se desarrolla en el ámbito de la seguridad informática, un nuevo actor ha entrado en escena, acaparando titulares y preocupando a expertos en todo el mundo. Se trata de una sofisticada campaña de malvertising que ha sido descubierta recientemente, y que representa un claro ejemplo de cómo los ciberdelincuentes están evolucionando sus tácticas para burlar las defensas y explotar las vulnerabilidades existentes en sistemas y redes.
El malware PikaBot se está difundiendo como parte de una campaña publicitaria maliciosa dirigida a usuarios que buscan software legítimo, como AnyDesk. Anteriormente, PikaBot se distribuía principalmente a través de campañas de correo electrónico no deseado, siguiendo un patrón similar al del malware QakBot, y ha sido utilizado por un grupo de ciberdelincuentes conocido como TA577.
Esta familia de malware, que hizo su aparición a principios de 2023, consta de un cargador y un módulo central que le permite actuar como una puerta trasera y distribuir otros tipos de malware. Esto permite a los atacantes obtener acceso no autorizado a sistemas comprometidos y enviar comandos desde un servidor de comando y control (C2). Los comandos pueden variar desde la ejecución de código arbitrario hasta la descarga de herramientas maliciosas como Cobalt Strike.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
TA577, un grupo de ciberdelincuentes conocido por entregar varios tipos de malware en el pasado, incluyendo QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike, está utilizando PikaBot en sus ataques recientes. Se ha observado que PikaBot se propaga junto con DarkGate a través de campañas de correo electrónico no deseado que imitan la táctica utilizada por QakBot.
El vector de infección inicial más reciente involucra anuncios maliciosos de Google relacionados con AnyDesk. Cuando una víctima hace clic en los resultados de búsqueda, es redirigida a un sitio web falso llamado anadesky.ovmv[.]net, que apunta a un instalador MSI malicioso alojado en Dropbox. La redirección al sitio falso se produce después de verificar la huella digital de la solicitud y solo si no se origina en una máquina virtual.
Es importante destacar que los atacantes están evadiendo los controles de seguridad de Google utilizando una URL de seguimiento a través de una plataforma de marketing legítima para redirigir al dominio personalizado detrás de Cloudflare, asegurándose de que solo las direcciones IP limpias sean redirigidas al siguiente paso.
Además, se realiza una segunda verificación de huella digital cuando la víctima hace clic en el botón de descarga en el sitio web, posiblemente para asegurarse de que no se encuentre en un entorno virtualizado. Estos ataques recuerdan a campañas previas de publicidad maliciosa utilizadas para propagar el malware FakeBat, también conocido como EugenLoader.
Este aumento en la publicidad maliciosa refleja cómo los ataques basados en navegadores se están utilizando cada vez más como medios para infiltrarse en las redes objetivo. Además, se ha descubierto un nuevo marco de extensión de Google Chrome llamado ParaSiteSnatcher, diseñado específicamente para afectar a usuarios en América Latina. Esta extensión maliciosa utiliza la API del navegador Chrome para interceptar y filtrar solicitudes POST que contienen información confidencial de cuentas y financieras.
Para su distribución, se descarga a través de un descargador de VBScript alojado en Dropbox y Google Cloud y se instala en sistemas comprometidos. Una vez instalada, la extensión tiene permisos amplios que le permiten manipular sesiones web, solicitudes web y rastrear las interacciones del usuario en múltiples pestañas del navegador Chrome. Este malware incluye varios componentes que facilitan su funcionamiento, como scripts de contenido para la inyección de código malicioso en páginas web y la supervisión de actividades del navegador web y la entrada del usuario.
Te podrá interesar: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea
Esta nueva campaña de malvertising no solo destaca los desafíos en curso en la seguridad cibernética, sino que también pone de relieve la necesidad de una vigilancia constante y de estrategias de defensa adaptativas. A medida que los atacantes se vuelven más sofisticados, también deben hacerlo nuestras defensas.
El panorama de amenazas está en constante evolución, y el malvertising es solo un frente en una guerra cibernética multifacética. Los ataques de phishing, ransomware y otras formas de ciberdelincuencia continúan adaptándose y evolucionando. La lucha contra amenazas como estas requiere una colaboración estrecha entre gobiernos, industrias y expertos en seguridad. Compartir información sobre amenazas y estrategias de defensa es vital para mantenerse un paso adelante de los ciberdelincuentes.
Finalmente, esta situación subraya la importancia de la innovación en el campo de la seguridad cibernética. La inversión en investigación y desarrollo de nuevas tecnologías de seguridad es fundamental para anticipar y contrarrestar las tácticas emergentes de los atacantes.
Podría interesarte leer: Ciberpatrullaje: Protege tu Empresa en el Mundo Digital
El descubrimiento de esta nueva campaña de malvertising sirve como un recordatorio crucial de la naturaleza dinámica y peligrosa del ciberespacio. Aunque la amenaza es seria, con las estrategias de protección adecuadas, educación y una actitud proactiva, tanto individuos como organizaciones pueden fortalecer significativamente su defensa contra estos ataques insidiosos. En un mundo cada vez más conectado, estar informado y preparado es la clave para navegar con seguridad en el vasto y a veces turbulento mar del internet.