Ha surgido una sofisticada campaña de malware dirigida a usuarios desprevenidos a través de versiones armadas de herramientas populares en línea, particularmente las interfaces de traductor de Google.
Los actores de Amenaza de Silver Fox han desarrollado una intrincada cadena de ataque que aprovecha las tácticas de ingeniería social para ofrecer el famoso troyano de Winos, que representa una evolución significativa en las técnicas de distribución de malware que explotan la confianza de los usuarios en servicios web legítimos.
Cadena de ataque (fuente – medio)
La metodología de ataque se centra en la creación de réplicas convincentes de aplicaciones y sitios web ampliamente utilizados, con atacantes que establecen portales falsos de traducción de Google, convertidores de divisas y páginas de descarga de software para aplicaciones populares como WPS Office.
Sitio web de descarga oficial de WPS falso (Fuente – Medio)
Cuando los usuarios interactúan con estos sitios maliciosos, encuentran las indicaciones de actualización de Flash engañosas que los redirigen a los servidores de descarga controlados por el atacante que alojan paquetes de instalación maliciosos.
Investigadores del equipo 404 conocidos. identificado Esta campaña como parte de una operación más amplia de Silver Fox que ha estado activa desde 2024, con los actores de amenaza que demuestran una notable adaptabilidad en sus enfoques de ingeniería social.
Los investigadores señalaron que esta variante particular representa una desviación significativa de los métodos tradicionales de distribución de malware, ya que se dirige específicamente a los usuarios que buscan servicios de traducción y herramientas de productividad.
Paquete de instalación de traducción fácil falsa (fuente – Medium)
El mecanismo de infección revela una implementación técnica sofisticada, con atacantes que integran el código JavaScript cuidadosamente elaborado dentro de los sitios web de phishing.
El script malicioso crea elementos de entrada ocultos e intenta obtener datos de configuración de archivos JSON remotos antes de mostrar notificaciones falsas de actualización de flash.
El script de redirección integrada demuestra la competencia técnica de los atacantes:-
fetch (‘url.json’) .then (respuesta => respuesta.json ()) .then (data => {const urlTouse = data (0); document.body.addeventListener (‘click’, function () {alert (“detectar la versión flash es demasiado baja, instale el complemento y intente de nuevo!”);}
Tras una instalación exitosa, el malware implementa múltiples componentes, incluidos Javaw.exe, MicrosoftData.exe y varios archivos de soporte que establecen un acceso persistente a sistemas comprometidos.
El troyano de Winos, disfrazado de software legítimo de Microsoft, implementa capacidades integrales de robo de datos, incluidas la captura de pantalla de captura de pantalla, el keylogging y las funcionalidades de monitoreo del portapapeles.
El mecanismo de persistencia de la campaña implica la manipulación del registro para garantizar el compromiso del sistema a largo plazo, y el malware se escribe en ubicaciones de inicio de Windows.
El análisis revela que la carga útil final contiene referencias a “Rexrat4.0.3” en su base de datos del programa, lo que indica el uso de herramientas de acceso remotos disponibles comercialmente que se han reutilizado para actividades cibercriminales.
Esta campaña de Silver Fox representa una tendencia preocupante en la distribución de malware, donde los actores de amenaza dependen cada vez más de la ingeniería social en lugar de las hazañas técnicas para lograr el compromiso inicial, lo que hace que la educación del usuario y la conciencia sean componentes cruciales de las estrategias de seguridad cibernética organizacional.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
