Redes de intercambio de tráfico que distribuyen malware disfrazado de software descifrado

Software descifrado

Se descubrió que la campaña en curso usaba una red de sitios web de «drop as a service» para proporcionar un paquete de malware a las víctimas que buscaban versiones «crackeadas» de aplicaciones comerciales y de consumo populares.

“Este malware incluía una serie de robots para clics fraudulentos, otros robos de información e incluso ransomware”, dijeron investigadores de la compañía cibernética Sophos en un informe publicado la semana pasada.

Los ataques funcionan mediante la explotación de una serie de sitios cebo alojados en WordPress que contienen enlaces de descarga a paquetes de software que, cuando se hace clic en ellos, redirigen a las víctimas a otro sitio web que proporciona complementos de navegador y malware potencialmente no deseados, como los instaladores de Raccoon. , la puerta trasera de Glupteb y una serie de criptomonedas maliciosas que se disfrazan de soluciones antivirus.

«A los visitantes que ingresan a este sitio se les solicita que permitan alertas; si lo permiten, el sitio web emite repetidamente alertas de malware falso», dijeron los investigadores. «Cuando los usuarios hacen clic en las alertas, son redirigidos a varios sitios web hasta que llegan a un destino determinado por el sistema operativo del visitante, el tipo de navegador y la ubicación geográfica».

Redes de intercambio de tráfico

Usando técnicas como la optimización de motores de búsqueda, los enlaces a sitios web aparecen en la parte superior de los resultados de búsqueda cuando las personas buscan versiones pirateadas de una amplia variedad de aplicaciones de software. Considerado un mercado clandestino para servicios de descarga de pago, las actividades permiten a los jugadores cibernéticos de nivel de entrada configurar y personalizar sus campañas en función de la orientación geográfica.

Los intercambios de operaciones, como también se denominan las infraestructuras de distribución, generalmente requieren el pago en bitcoins antes de que los afiliados puedan crear cuentas en el servicio y comenzar a distribuir instaladores, con sitios como InstallBest que ofrecen consejos sobre «mejores prácticas», como no usar hosts basados ​​en Cloudflare. para descargadores y también usando URL dentro de CDN Discord, Bitbucket u otras plataformas en la nube.

Redes de intercambio de tráfico
Redes de intercambio de tráfico

Además, los investigadores también han encontrado una serie de servicios que, en lugar de ofrecer sus propias redes de entrega de malware, actúan como «intermediarios» de las redes de malware establecidas que pagan a los editores de sitios web por el tráfico. Uno de estos proveedores de servicios es InstallUSD, la red de publicidad de Pakistán, que se ha vinculado a una serie de campañas de malware, incluidos sitios de software pirateados.

Esta no es la primera vez que los sitios web de warez se utilizan como vector de infección por parte de los actores de amenazas. A principios de junio de este año, se encontró a un minero de criptomonedas llamado Crackonosh, que abusó de este método para instalar un paquete de minero de monedas llamado XMRig para usar en secreto los recursos del host infectado para extraer Moner.

Un mes después, se encontraron atacantes detrás de un malware llamado MosaicLoader, que se dirigía a personas que buscaban software descifrado como parte de una campaña mundial para implementar puertas traseras completamente funcionales que podían atraer sistemas Windows infectados a una red de bots.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática