Hoy en día, con tantas reuniones virtuales llenando nuestras agendas, es fácil confiar en plataformas como Google Meet sin pensarlo dos veces. Pero esa misma confianza está siendo aprovechada por ciberdelincuentes. Resulta que ahora están enviando notificaciones falsas de Google Meet para colar malware en los dispositivos, haciéndose pasar por errores técnicos de videollamadas fallidas. ¿El resultado? Tus datos personales corren serio peligro, y muchos ni se dan cuenta hasta que ya es demasiado tarde. Aquí te contamos cómo están operando estos ataques.
Nueva Campaña de ClickFix
Recientemente, los ciberdelincuentes han puesto en marcha una nueva campaña llamada ClickFix, que está atrapando a los usuarios con páginas fraudulentas de Google Meet. Estas páginas muestran falsos errores de conectividad y, al hacer clic en ellos, el usuario termina instalando malware que roba información tanto en Windows como en macOS.
ClickFix es básicamente una táctica de ingeniería social que surgió en mayo. En ese momento, el ataque lo llevaba a cabo un grupo de amenazas conocido como TA571. Su estrategia consistía en enviar mensajes que se hacían pasar por errores de aplicaciones legítimas como Google Chrome, Microsoft Word y OneDrive.
El truco era simple pero peligroso: los errores engañaban a las víctimas para que copiaran un código de PowerShell en el portapapeles, creyendo que solucionarían el problema ejecutándolo en el Símbolo del sistema de Windows. Obviamente, lo que realmente estaban haciendo era instalar malware en sus dispositivos. Entre los programas maliciosos que se colaban estaban DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un secuestrador del portapapeles y Lumma Stealer.
En julio, McAfee advirtió que este tipo de ataques ClickFix se estaban volviendo cada vez más comunes, especialmente en países como Estados Unidos y Japón. Lo preocupante es que no se han quedado ahí: un nuevo informe, revela que estas campañas están evolucionando. Ahora están utilizando Google Meet como cebo, además de lanzar ataques de phishing dirigidos a sectores como transporte y logística, páginas falsas de Facebook y hasta problemas engañosos en GitHub.
Lo que antes era una molestia de ciberseguridad se está convirtiendo en una amenaza global, y es crucial entender cómo operan estos ataques para poder protegernos.
Cronología de la evolución de ClickFix
Recientemente, se ha visto que algunas de las campañas más recientes están siendo llevadas a cabo por dos grupos de ciberdelincuentes llamados Slavic Nation Empire (SNE) y Scamquerteo. Estos equipos están relacionados con bandas de estafadores que operan en el mundo de las criptomonedas, conocidas como Marko Polo y CryptoLove. Estos grupos han estado haciendo de las suyas, lanzando ataques cada vez más sofisticados que buscan robar datos personales y financieros.
Conoce más sobre: Consecuencias de la Falta de Concientización en Ciberseguridad
La Trampa en Google Meet
Últimamente, los ciberdelincuentes están utilizando páginas falsas de Google Meet para engañar a los usuarios. Este servicio de videollamadas, tan popular en empresas y entornos profesionales, se ha convertido en el objetivo perfecto para estafas que se disfrazan de invitaciones a reuniones o seminarios importantes.
El ataque comienza con un correo electrónico que parece una invitación legítima de Google Meet para una reunión de trabajo o algún evento relevante. Los enlaces en estos correos son casi idénticos a los reales, con URLs diseñadas para despistar, como:
- conoce[.]google[.]us-join[.]com
- conocer[.]google[.]web-join[.]com
- conoce[.]googie[.]com-únete[.]a-nosotros
- conoce[.]google[.]cdm-únete[.]us
Si la víctima hace clic en uno de estos enlaces, se le lleva a una página falsa que parece Google Meet, donde rápidamente aparece un mensaje diciendo que hay un problema técnico, como un fallo con el micrófono o los auriculares. Suena inofensivo, ¿verdad? Pero aquí es donde está la trampa.
Te podrá interesar leer: Aprende a Identificar los Principales Tipos de Ataques de Phishing
Cuando el usuario hace clic en "Probar solución", el sitio copia un código de PowerShell en su portapapeles y le indica que lo pegue en la terminal de Windows. Si lo hacen, su computadora se infecta con malware que se descarga desde el dominio malicioso googiedrivers[.]com.
Para los usuarios de Windows, este ataque puede terminar con la instalación de malware como Stealc o Rhadamanthys, ambos diseñados para robar información. En dispositivos macOS, el malware se disfraza como un archivo .DMG (imagen de disco de Apple) llamado 'Launcher_v194', que contiene el ladrón de datos AMOS Stealer.
Pero Google Meet no es el único objetivo. Los atacantes también han aprovechado plataformas como Zoom, lectores de PDF, videojuegos falsos (como Lunacy, Calipso, Battleforge, y Ragon), navegadores web y hasta proyectos de web3. Incluso han usado aplicaciones de mensajería como Nortex para propagar el malware.
Este tipo de ataques están diseñados para parecer lo más legítimos posible, y con tanta gente usando estas plataformas todos los días, no es raro que alguien caiga en la trampa. Así que, como siempre, es vital prestar atención a los detalles antes de hacer clic en cualquier enlace o ejecutar cualquier archivo.