¿Sabías que un simple anuncio en una página web puede ser suficiente para que un hacker robe tu información personal? No estamos hablando de esos típicos correos de "ganaste un millón de dólares", esto es mucho más sutil y peligroso. Una campaña de publicidad maliciosa a gran escala, conocida como "DeceptionAds", ha estado utilizando anuncios engañosos y páginas captcha falsas para distribuir el malware Lumma Stealer, diseñado para robar contraseñas, cookies y otros datos sensibles.
Esta operación, atribuida al actor de amenazas "Vane Viper", ha logrado propagarse a través de la red publicitaria Monetag, acumulando más de un millón de impresiones diarias en alrededor de tres mil sitios web. Lo más preocupante es que las páginas falsas piden a los usuarios ejecutar comandos de PowerShell bajo el pretexto de verificar que no son bots, pero en realidad, terminan infectando sus dispositivos.
Los ataques ClickFix no son nada nuevo, pero ahora han evolucionado a algo mucho más sofisticado y peligroso. Antes, esta táctica se limitaba a engañar a las víctimas para que ejecutaran comandos maliciosos de PowerShell a través de correos de phishing, páginas captcha falsas en sitios de software pirata, publicaciones maliciosas en Facebook o incluso enlaces sospechosos en problemas de GitHub.
Sin embargo, lo que los investigadores de GuardioLabs descubrieron ahora es algo más preocupante. La campaña conocida como "DeceptionAds" lleva estos ataques a un nivel superior al aprovechar la publicidad en redes legítimas para atraer a usuarios desprevenidos. Esta vez, los ciberdelincuentes usan la red publicitaria Monetag para mostrar anuncios emergentes con ofertas falsas, descargas o servicios que parecen atractivos, especialmente para quienes visitan sitios de streaming o software pirata.
Lo que hace este método tan efectivo es su alcance masivo: los anuncios engañosos redirigen directamente a los usuarios a páginas con captcha falsas que, si interactúan con ellas, terminan infectando sus dispositivos con malware. Es un movimiento mucho más amplio y silencioso que las versiones anteriores de ClickFix, y cualquiera que navegue casualmente por la web puede convertirse en víctima sin darse cuenta.
Red Publicitaria de Monetag
Una vez que la víctima hace clic en el anuncio, un código oculto verifica si realmente es una persona y no un bot. Si pasa esta "prueba", el usuario es redirigido a una página captcha falsa a través de un servicio llamado BeMob. Aunque BeMob es una herramienta legítima que se usa para rastrear el rendimiento de anuncios, en este caso, los atacantes lo utilizan como una capa de encubrimiento para evitar ser detectados. Al enviar una URL aparentemente inofensiva al sistema de anuncios de Monetag en lugar del enlace malicioso directo, logran burlar las revisiones de contenido y pasan desapercibidos.
Descripción general de la cadena de ataque
Una vez en la página falsa, comienza el verdadero engaño. La página captcha ejecuta silenciosamente un fragmento de JavaScript que copia un comando malicioso de PowerShell en el portapapeles del usuario, sin que este se dé cuenta. Acto seguido, la página le da instrucciones al usuario, diciendo que necesita pegar la “solución del captcha” en el cuadro Ejecutar de Windows (presionando Win + R) y ejecutarla.
Si el usuario cae en la trampa, este comando descarga e instala Lumma Stealer desde un servidor remoto, infectando el dispositivo y dejando toda su información personal al alcance de los ciberdelincuentes. Es un engaño tan simple como efectivo: lo que parece una verificación inofensiva se convierte en un peligro real con solo un par de clics.
Página CAPTCHA falsa que engaña a los usuarios para que ejecuten PowerShell (Fuente: GuardioLabs)
Podría interesarte leer: ¿Qué son ASMCrypt, Lumma y Zanubis?: Nuevos CrimeWare
Lumma Stealer es un malware bastante sofisticado diseñado para robar todo tipo de información personal y sensible. Una vez que infecta tu dispositivo, puede acceder a tus contraseñas, credenciales, cookies, historial de navegación e incluso detalles de tus tarjetas de crédito en navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox y otros basados en Chromium.
Pero no se detiene ahí. También tiene la capacidad de robar billeteras de criptomonedas y archivos importantes que puedan contener claves privadas o información confidencial. El malware suele buscar archivos con nombres como seed.txt, pass.txt, wallet.txt, metamask.txt, ledger.txt, entre otros, e incluso archivos PDF que puedan contener datos críticos. Toda esta información se recopila y se envía en un archivo al atacante, quien puede usarla para futuros ataques o, peor aún, venderla en mercados clandestinos de la dark web.
Aunque se han tomado acciones para frenar campañas masivas como esta, los ciberdelincuentes siempre buscan la manera de volver a la carga. De hecho, operaciones como las de Lumma Stealer han demostrado ser persistentes, y cuando se cierran puertas en una red publicitaria, simplemente buscan otra.
En el último año, este tipo de campañas se ha vuelto un problema global. Las consecuencias pueden ser devastadoras: desde fraudes financieros, violaciones de privacidad y robo de datos, hasta ataques de ransomware que paralizan empresas enteras. Por ejemplo, en mayo, ciberdelincuentes utilizaron credenciales robadas por malware de este tipo para llevar a cabo violaciones masivas de cuentas, afectando a empresas como Ticketmaster, AT&T y Advance Auto Parts.
En internet, un descuido puede costarte mucho. Mantente alerta y navega de forma segura.