Ciberseguridad 360 | Páginas falsas de Google Meet distribuyen malware en campaña de ClickFix

Los ciberdelincuentes est�n utilizando falsas p�ginas web de Google Meet como parte de una campa�a de malware denominada ClickFix para distribuir infostealers dirigidos a sistemas Windows y macOS.

"Esta t�ctica consiste en mostrar mensajes de error falsos en los navegadores web para enga�ar a los usuarios para que copien y ejecuten un c�digo PowerShell malicioso determinado, infectando finalmente sus sistemas", afirma la empresa francesa de ciberseguridad Sekoia en un informe compartido con The Hacker News.

En los �ltimos meses se ha informado ampliamente de variaciones de la campa�a ClickFix (tambi�n conocida como ClearFake y OneDrive Pastejacking), en la que los actores de amenazas emplean diferentes se�uelos para redirigir a los usuarios a p�ginas falsas que pretenden desplegar malware instando a los visitantes del sitio a ejecutar un c�digo PowerShell codificado para solucionar un supuesto problema de visualizaci�n de contenidos en el navegador web.

Estas p�ginas son conocidas por hacerse pasar por servicios en l�nea populares, incluyendo Facebook, Google Chrome, PDFSimpli, y reCAPTCHA, y ahora Google Meet, as� como potencialmente Zoom :

meet.google.us-join[.]com

meet.googie.com-join[.]us

meet.google.com-join[.]us

meet.google.web-join[.]com

meet.google.webjoining[.]com

meet.google.cdm-join[.]us

meet.google.us07host[.]com

googiedrivers[.]com

us01web-zoom[.]us

us002webzoom[.]us

web05-zoom[.]us

webroom-zoom[.]us

En Windows, la cadena de ataque culmina con el despliegue de los robos StealC y Rhadamanthys, mientras que los usuarios de macOS de Apple reciben un archivo de imagen de disco trampa ("Launcher_v1.94.dmg") que deja caer otro robo conocido como Atomic.

Esta t�ctica de ingenier�a social emergente destaca por el hecho de que elude h�bilmente la detecci�n por parte de las herramientas de seguridad, ya que implica que los usuarios ejecuten manualmente el comando PowerShell malicioso directamente en el terminal, en lugar de ser invocado autom�ticamente por un payload descargado y ejecutado por ellos.

Sekoia ha atribuido el cl�ster que suplanta la identidad de Google Meet a dos grupos de traficantes, a saber, Slavic Nation Empire (tambi�n conocido como Slavice Nation Land) y Scamquerteo, que son subequipos de markopolo y CryptoLove, respectivamente.

"Ambos equipos de traficantes [...] utilizan la misma plantilla de ClickFix que suplanta la identidad de Google Meet", afirma Sekoia. "Este descubrimiento sugiere que estos equipos comparten materiales, tambi�n conocidos como 'proyecto de aterrizaje', as� como infraestructura".

Esto, a su vez, ha planteado la posibilidad de que ambos grupos de amenazas est�n haciendo uso del mismo servicio de ciberdelincuencia, a�n desconocido, con un tercero probablemente gestionando su infraestructura.

La noticia se produce en medio de la aparici�n de campa�as de malware que distribuyen el ladr�n de c�digo abierto ThunderKitty, que comparte similitudes con Skuld y Kematian Stealer, as� como nuevas familias de ladrones denominadas Divulge, DedSec (tambi�n conocido como Doenerium), Duck, Vilsa y Yunit.

"El auge de los ladrones de informaci�n de c�digo abierto representa un cambio significativo en el mundo de las ciberamenazas", se�al� la empresa de ciberseguridad Hudson Rock en julio de 2024.

"Al reducir la barrera de entrada y fomentar la r�pida innovaci�n, estas herramientas podr�an alimentar una nueva ola de infecciones inform�ticas, planteando retos para los profesionales de la ciberseguridad y aumentando el riesgo general para empresas y particulares."

Fuente: thehackernews