Los usuarios de WordPress son dirigidos a una actualización falsa de Google Chrome

Un grupo de piratas informáticos encontrados por Dr.Web está atacando activamente varios sitios de WordPress para descargar malware y robar información confidencial. Este ataque de campo se dirige a los usuarios por sus ubicaciones geográficas y preferencias de navegación para redirigirlos a descargar una actualización falsa de Chrome y comprometer aún más.

fake_chrome_update

El grupo detrás de estos ataques también participó en la difusión de instaladores de editores de video VSDC falsos, y esta vez en el panel de administración directamente. Dr.Web informa que estos ataques han estado activos durante mucho tiempo y están creando una cadena de infección. Primero están indicando a los usuarios vulnerables de WordPress que descarguen una actualización de seguridad falsa para crear una puerta trasera para descargar malware. Asi es como funciona;

Modo de operación

Primero, los usuarios de WordPress son dirigidos en función de las preferencias y ubicaciones de su navegador. Deben ser usuarios del navegador Chrome de EE. UU., Canadá, Australia, Gran Bretaña, Israel y Turquía. Los atacantes envían correos electrónicos de phishing que engañan a los usuarios haciéndoles creer una actualización de seguridad falsa y descargarla, que en realidad es un instalador malicioso. Y cuando lo hizo, este instalador crea una carpeta en el directorio% userappdata%, que contiene archivos para la aplicación de control remoto TeamViewer y también abre dos archivos SFX protegidos con contraseña.

Estos dos archivos están destinados a volcar la biblioteca msi.dll maliciosa y evitar detecciones. La biblioteca maliciosa permite al atacante realizar conexiones no autorizadas y un archivo por lotes que inicia la página de inicio de Google.com. El segundo archivo contiene una secuencia de comandos para omitir Windows Defender y permitir que el proceso del atacante se ejecute sin problemas. Y los archivos de TeamViewer mencionados anteriormente están destinados a ocultar el tráfico del atacante a través de sus archivos, por lo que son legítimos.

Después de todo, las puertas traseras creadas por intrusos se utilizan para una mayor explotación, como los registradores X-Key para exportar claves, un troyano RDP para controlar de forma remota el sitio web y el malware Predator para robar credenciales. Se recomienda a los usuarios que busquen actualizaciones legítimas para evitar ataques como si hubieran ocurrido. Los espectadores que visitan sitios web infectados y envían detalles también son vulnerables más adelante.

Fuente: Dr.Web