Google Chrome advierte: cuidado con las actualizaciones falsas

Los fanáticos de Google Chrome están siendo advertidos sobre una campaña de malware que propaga archivos maliciosos a través de actualizaciones falsas para el navegador de Internet.

El malware comenzó a distribuirse en diciembre de 2017 y aprovecha sitios web pirateados para redirigir a los usuarios a páginas que promocionan actualizaciones falsas de software.

Fue descubierto por los expertos en seguridad Malwarebytes bajo la campaña apodada ‘FakeUpdates’ (actualizaciones falsas).

Ha estado difundiendo parches falsos para software como Google Chrome, Mozilla Firefox, Internet Explorer y Adobe Flash Player.

El investigador de Malwarebytes Jerome Segura, en una publicación de blog, explicó cómo los sistemas CMS de sitios web legítimos habían sido pirateados para propagar los archivos maliciosos.

Explicó que el truco de CMS afectó a miles de sitios que usaban las plataformas WordPress, Squarespace y Joomla.

Segura dijo que los visitantes de los sitios afectados fueron redirigidos a una página de actualización falsa para su navegador correspondiente.

Así que a los usuarios de Chrome se les presentó una página de actualización de Google falsa y los fanáticos de Firefox vieron un sitio falso de descarga de Mozilla.

A las víctimas les dijeron que su software no estaba actualizado y que necesitaban actualizarse a la última versión.

Al hacer clic en el botón Actualizar, los usuarios descargan un archivo JavaScript alojado en Dropbox, que luego infecta la computadora de la víctima con malware.

La URL del archivo atacante se cambia regularmente para evitar la detección.

Segura dijo: “este JavaScript está muy ofuscado para hacer el análisis estático muy difícil y también para ocultar algunas huellas digitales cruciales que están diseñadas para evadir las máquinas virtuales y las sandboxes”.

El juego de los cibercriminales es engañar a los usuarios para que descarguen el malware bancario Chtonic.

Este software malicioso afecta a los dispositivos de Windows y es una variante del infame troyano ZeusVM.

Permite a los ciberdelincuentes robar detalles bancarios y de tarjetas de crédito de sus víctimas.

Segura dijo: “Esta campaña se basa en un mecanismo de entrega que aprovecha la ingeniería social y abusa de un servicio legítimo de alojamiento de archivos.

“El archivo ‘cebo’ consiste en una secuencia de comandos en lugar de un ejecutable malicioso, lo que les da a los atacantes la flexibilidad para desarrollar técnicas interesantes de ofuscación y toma de huellas dactilares.

“Se abusó de los sitios web comprometidos no solo para redirigir a los usuarios sino también para alojar el esquema de actualizaciones falsas, haciendo que sus propietarios involuntariamente participen en una campaña de malware.

“Esta es la razón por la cual es tan importante mantener actualizados los sistemas de gestión de contenidos así como también utilizar una buena seguridad  en lo que respecta a la autenticación”.

Las noticias llegan después de que el mes pasado los usuarios de Chrome fueron advertidos sobre un riesgo de seguridad de descarga que podría permitir a los piratas informáticos tomar el control de sus computadoras.

La firma de seguridad cibernética Check Point descubrió el problema con la extensión de escritorio remoto de Chrome, que se puede encontrar en Chrome Web Store.

Uno de sus analistas notó un “comportamiento inesperado” cuando la aplicación Google Chrome Remote Desktop se ejecutaba en macOS.

Check Point explicó cómo el error podría permitir que un usuario inicie sesión como invitado, pero aún así obtenga privilegios de administrador.

Check Point dijo: “Uno de nuestros analistas de seguridad notó recientemente un comportamiento inesperado en la aplicación Google Chrome Remote Desktop en macOS.

“El extraño comportamiento permite, en algunos casos, un ‘usuario invitado’ para iniciar sesión como Invitado y aún recibir una sesión activa de otro usuario (como administrador) sin ingresar una contraseña.

“Check Point Research informó este error a Google el 15 de febrero de 2018. Google respondió que desde una perspectiva CRD (escritorio remoto de Chrome), la pantalla de inicio de sesión no es un límite de seguridad.

“Como vemos, se trata de un problema de seguridad y creemos que los usuarios deben estar alerta ante el riesgo de permitir que un invitado acceda remotamente a su máquina”.

La función de “usuario invitado” no está habilitada de forma predeterminada en macOS, por lo que el exploit de Chrome no afectará a los usuarios de Mac que aún no han configurado esta característica en vivo.

Comparta con sus amigos