Los cibermalos usan páginas falsas de conferencias de Google Meet para entregar malware

La técnica de ingeniería social ClickFix habría evolucionado significativamente y ahora incluso se utilizan problemas engañosos de GitHub.

Alberto Payo

Periodista

Guardar

Videoconferencia
Videoconferencia

ClickFix es una táctica de ingeniería social que apareció por primera vez en mayo y que fue identificada por la firma de ciberseguridad Proofpoint.

Se trataría una acción de un actor de amenazas (TA571) que usaba mensajes que se hacían pasar por errores para Google Chrome, Microsoft Word y OneDrive. 

En julio la firma de ciberseguridad McAfee compartió que sus campañas se estaban volviendo frecuentes, especialmente en EE.UU y Japón. 

Ahora se ha encontrado una nueva campaña de ClickFix que estaría atrayendo a los usuarios a páginas fraudulentas de conferencias de Google Meet que muestran errores de conectividad falsos. Estos entregan malware que roba información para los sistemas operativos Windows y macOS. 

Ahora es mucho más peligrosa

Así lo señala un nuevo informe del proveedor de ciberseguridad SaaS Sekoia, que apunta a que la amenaza ha evolucionado significativamente.

Google Meet está sirviendo como señuelo, pero también se usan correos electrónicos de phishing dirigidos a empresas de transporte y logística, páginas falsas de Facebook y problemas engañosos de GitHub. 

Los fallos provocan que la víctima copie en el portapapeles un fragmento de código de PowerShell que solventaría los problemas ejecutándolo en el símbolo del sistema de Windows. 

Todo esto derivaría en que las víctimas infectan los sistemas con varios programas maliciosos, como pueden ser DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un secuestrador de portapapeles y Lumma Stealer.

Sekoia indica que hay dos grupos de amenazas, Slavic Nation Empire (SNE) y Scamquerteo, considerados subequipos de las bandas de estafadores de criptomonedas Marko Polo y Cryptolove, que son las que están liderando algunas de las campañas más recientes. 
 

Archivado en: