Cisco AnyConnect es una herramienta que suelen usar los empleados para conectarse de manera remota a las redes de las empresas, pero también las universidades.
Desde Malwarebytes han descubierto que los actores de amenazas han usado el nombre de una universidad pública alemana, la Universidad Técnica de Dresde (TU Dresden) para crear un sitio web falso diseñado no para engañar a las víctimas reales, sino para evadir la detección de los sistemas de seguridad.
Las víctimas eran redirigidas a una página web similar a la de Cisco que enlazaba a un instalador malicioso que contenía el troyano de acceso remoto NetSupport RAT.
La firma revela cómo el mencionado anuncio malicioso aparece tras hacer una búsqueda en Google con las palabras clave "cisco annyconnect". El anuncio muestra una URL que, aparentemente, resulta bastante convincente para anyconnect-secure-client[.]com.
Un plan 'casi' perfecto
El anuncio, con la R de Registrado, y un mensaje que señala que la identidad del anunciante ha sido verificada por Google, da bastante el pego y es un gancho perfecto.
Por otro lado, el ciberdelincuente ha sido bastante hábil, ya que ha robado contenido de una institución que realmente usa Cisco AnyConnect.
Sin embargo, dejó un rastro al copiar y pegar. Añadieron la notificación de aceptación de cookies, necesaria para las webs europeas, pero filtraron el idioma de su navegador (ruso), revelando su presumible origen.
Las víctimas, al conectarse al servidor malicioso, son redirigidas inmediatamente a una web de phishing de Cisco AnyConnect. La descarga se hace mediante un script PHP que proporcionaba la URL de descarga directa.
Malwarebytes advierte cómo en los últimos tiempos los cibermalos han recurrido a la inteligencia artificial para generar páginas que parecen inofensivas. Estas son conocidas como 'páginas blancas'.