Para arrojar algo de luz sobre la eterna amenaza del "paquete de malware", Los investigadores de Sophos realizaron recientemente una investigación exhaustiva en una red de sitios web relacionados con una campaña de robo de información de Racoon en curso., actuando como un "cuentagotas como servicio". Esta red distribuyó una variedad de paquetes de malware., “A menudo agrupa malware no relacionado en un solo cuentagotas,”Incluidos los bots de fraude de clics, otros ladrones de información, y ransomware.
La eterna amenaza de los paquetes de software crackeados
Mientras que la campaña Raccoon Stealer que Sophos rastreó en estos sitios ocurrió entre enero y abril, 2021, los investigadores aún observan malware y otros contenidos maliciosos distribuidos a través de la misma red de sitios. “Múltiples sitios web de front-end dirigidos a personas que buscan versiones" descifradas "de paquetes de software para empresas y consumidores populares se vinculan a una red de dominios utilizado para redirigir a la víctima a la carga útil diseñada para su plataforma," el informe señaló.
De hecho, muchas redes aplican las mismas tácticas básicas, como usar SEO (optimización de motores de búsqueda) para colocar una página de cebo en el primer pasado de resultados relacionados con consultas de búsqueda específicas. Estas consultas a menudo incluyen las versiones crackeadas de varios productos de software.. Cabe señalar que durante el análisis de la campaña infostealer de Racoon, Sophos se encontró con numerosos ladrones de información, bots de clickfraud, tan bien como Conti y DETENGA el ransomware.
Descubrimientos anteriores de Sophos relacionado con la forma en que Raccoon se propaga in the wild reveló un canal de YouTube con video sobre productos, o software pirateado. Los investigadores también encontraron muestras en telemetría arraigadas con dos dominios específicos: gsmcracktools.blogspot.com y procrackerz.org.
Los sitios maliciosos generalmente se anuncian como repositorios de paquetes de software legítimos descifrados.. Sin embargo, los archivos entregados en la campaña en realidad se hicieron pasar por goteros. Si la víctima potencial hace clic en un enlace para descargar dicho archivo, pasan a través de un conjunto de JavaScripts redirectores alojados en Amazon Web Services. Entonces, la víctima es enviada a una de las múltiples ubicaciones de descarga que entregan varias versiones del cuentagotas.
Una mirada a las páginas de cebo maliciosas y las redes de intercambio de tráfico
Los ataques analizados utilizan numerosas páginas de cebo alojadas principalmente en WordPress.. Estas páginas contienen enlaces de descarga a software empaquetado que crean una serie de redireccionamientos al hacer clic.
"Los botones de descarga de estas páginas enlazan a otro host, pasar un conjunto de parámetros que incluye el nombre del paquete y los códigos de identificación del afiliado a una aplicación que luego redirige la sesión del navegador a otro sitio intermediario, antes de llegar finalmente a un destino,"Sophos dijo.
Algunas páginas de cebo redireccionan a sitios de descarga que alojan archivos empaquetados que contienen malware., mientras que otros están atados con complementos de navegador y aplicaciones potencialmente no deseadas (satisfecho).
En muchos casos, se solicita a los visitantes de la página que permitan notificaciones push. Si estos están permitidos, las páginas comenzarán a activarse alertas de malware falsas. Si se hace clic en las alertas, luego, se lleva al usuario a través de una serie de redireccionamientos y sitios hasta llegar a un destino determinado por el sistema operativo del visitante, el tipo de navegador, y la ubicación geográfica.
¿Qué descubrieron los investigadores en términos de malware??
Estas campañas de descarga propagan una variedad de aplicaciones no deseadas y malware., incluyendo instaladores para ransomware PARADA, la puerta trasera de Glupteba, y numerosos mineros e infostealers de criptomonedas. Muchas de estas descargas falsas pretendían ser instaladores de programas antivirus., algunos de los cuales afirmaron ser versiones de HitmanPro sin licencia, propiedad de Sophos.
Los paquetes de cuentagotas y las plataformas de entrega de malware existen desde hace mucho tiempo, pero continúan prosperando debido al mismo tipo de dinámica de mercado que las que hacen que los ladrones como servicio sean tan rentables, el informe concluyó. Gracias a estos, Incluso los actores de amenazas sin experiencia pueden propagar malware..