Saltar al contenido
computerg

🥇 Los Ciberdelincuentes Manipulan El Sitio Del Navegador Brave Para Impulsar El Malware

agosto 2, 2021

Se ha capturado a los ciberdelincuentes haciéndose pasar por el sitio del navegador Brave centrado en la privacidad para inficionar a los usuarios desprevenidos con malware.

Conforme lo informado por Ars Technica, los ciberdelincuentes tras el ataque registraron por vez primera el dominio xn – brav-yva[.]com que emplea punycode para representar bravė[.]com. Aparte del énfasis en la ‘e’, ​​este lugar tiene un dominio que se semeja bastante al sitio de Brave (brave[.]com).

A los usuarios que visitaron el lugar falso les resultaría bastante difícil distinguir la diferencia entre los 2 sitios, puesto que los ciberdelincuentes imitaban tanto la apariencia como el estilo del sitio lícito de Brave. La única diferencia real es que en el momento en que un usuario hace click en el botón «Descargar Brave», se descarga un malware llamado ArechClient y SectopRat en vez del navegador.

Para asistir a dirigir el tráfico a su lugar falso, los ciberdelincuentes adquirieron anuncios en Google que se mostraban cuando los usuarios procuraban navegadores. Aunque los anuncios en sí no parecían peligrosos, eran del dominio mckelveytees[.]com en vez de valiente[.]com. Hacer click en cualquiera de estos anuncios mandaría a los usuarios a múltiples dominios diferentes antes que por último llegasen a bravė[.]com.

Dominios de Punycode

Conforme Jonathan Sampson, que trabaja como desarrollador web en Brave, los sitios falsos engañaban a los usuarios a fin de que descargasen una imagen ISO de trescientos tres MB que contenía un solo ejecutable.

Al paso que el malware empujado por bravė[.]com se conoce como ArechClient y SectopRat, un análisis de la compañía de ciberseguridad G Data en dos mil diecinueve descubrió que se trataba de un troyano de acceso recóndito (RAT) capaz de propagar el escritorio actual de un usuario y de crear un segundo escritorio invisible que los atacantes podrían emplear. No obstante, desde su lanzamiento, los ciberdelincuentes tras el malware han agregado nuevas funciones, incluyendo las comunicaciones cifradas con los servidores C&C, como la capacidad de hurtar el historial del navegador de un usuario de Google Chrome y Mozilla Firefox.

Martijin Gooten, jefe de investigación de inteligencia de amenazas en la firma de ciberseguridad Silent Push, efectuó su investigación para poder ver si los ciberdelincuentes tras esta campaña habían registrado otros sitios afines para lanzar nuevos ataques. Entonces procuró otros dominios punycode registrados a través del registrador de dominios NameCheap para localizar que se habían registrado sitios falsos para el navegador Tor, Telegram y otros servicios populares.

Para eludir ser víctimas de esta campaña y otros ataques afines, los usuarios deben inspeccionar esmeradamente las direcciones web de todos y cada uno de los sitios que visitan en la barra de direcciones de su navegador. Aunque esto puede ser aburrido, hoy día es la única forma de advertir sencillamente sitios afines que se pueden emplear para extender malware y otros virus.

Vía Ars Technica


Source link