Uno de los objetivos de los ciberdelincuentes para engañar a los usuarios pasa por la falsificación de sitios web. Si a eso añadimos que los beneficios se incrementan cuando se suplantan plataformas conocidas, el beneficio ilícito es prácticamente perfecto. Recientemente, se ha identificado a un actor de amenazas que crea sitios falsos y fraudulentos de Skype, Google Meet y Zoom para distribuir malware, apuntando específicamente a usuarios de Android y Windows.

El actor de la amenaza distribuye varias familias de malware a través de sitios web falsos de Skype, Zoom y Google Meet. Se están distribuyendo Troyanos de Acceso Remoto (RAT) como SpyNote RAT para Android, NjRAT y DCRat para Windows.

Como actuaban los ciberdelincuentes al suplantar sitios web

Los sitios falsos estaban alojados en un servicio de alojamiento web compartido, todos bajo una única dirección IP en Rusia. Las URL maliciosas se parecían mucho a los sitios web legítimos, lo que dificultaba que los usuarios notasen la diferencia.

El modus operandi del atacante implicaba atraer a los usuarios para que hicieran clic en los sitios falsos. Después, al pinchar en el botón de Android se iniciaba la descarga de un archivo APK malicioso, mientras que hacer clic en el botón de Windows desencadenaba la descarga de un archivo BAT, que llevaba a la descarga de un payload de RAT.

Casos Específicos de Sitios Falsos

Skype

El primer sitio falso descubierto fue join-skype[.]info, diseñado para engañar a los usuarios para que descargaran una aplicación falsa de Skype. El botón de Windows dirigía a Skype8.exe y el botón de Google Play apuntaba a Skype.apk.

Google Meet

Otro sitio falso, online-cloudmeeting[.]pro, imitando a Google Meet, fue así identificado. El sitio proporcionaba enlaces para descargar aplicaciones falsas de Skype para Android y Windows. El enlace de Windows conducía a un archivo BAT que descargaba DCRat, mientras que el enlace de Android llevaba a un archivo APK de SpyNote RAT.

Zoom

Más tarde, surgió un sitio falso de Zoom, us06webzoomus[.]pro, con enlaces para descargar SpyNote RAT para Android y DCRat para Windows. El sitio se parecía mucho a un ID de reunión legítimo de Zoom.

Los sitios falsos de Google Meet y Zoom también contenían archivos maliciosos adicionales como driver.exe y meet.exe (NjRAT), indicando campañas futuras potenciales utilizando estos archivos.

Riesgos para las Empresas

Las empresas corren el riesgo de sufrir ataques de suplantación a través de aplicaciones de reuniones en línea, lo que lleva a la distribución de RATs que pueden comprometer datos sensibles. La vigilancia, medidas de seguridad robustas, actualizaciones regulares y parches son indispensables para protegerse contra amenazas cibernéticas en evolución. Las medidas proactivas son esenciales a medida que evolucionan las amenazas cibernéticas.

La suplantación de servicios tan populares como Zoom, Google Meet o Skype representa una táctica particularmente interesante para los ciberdelincuentes debido a la confianza y la dependencia generalizadas que los usuarios tienen en estas plataformas.

En el contexto de la pandemia global y el auge del teletrabajo, estas herramientas se han convertido en esenciales para la comunicación y colaboración diaria en entornos profesionales y personales. Este nivel de integración en la vida cotidiana ofrece a los atacantes una vasta superficie de ataque y una oportunidad dorada para engañar a las víctimas, haciendo más probable que los enlaces y archivos maliciosos sean clicados y descargados.

Al imitar estos servicios confiables, los ciberdelincuentes pueden difundir malware de manera más efectiva, obteniendo acceso a datos sensibles y comprometiendo sistemas enteros con mayor facilidad, lo que subraya la necesidad de una vigilancia y educación constantes sobre ciberseguridad

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre