SYS01stealer: Nueva amenaza que utiliza anuncios de Facebook para apuntar a empresas de infraestructura crítica

Google intervino para eliminar una extensión falsa disponible en la tienda web para el navegador Chrome de la tienda web, la cual se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas. La extensión “ChatGPT para Google”, una versión troyanizada de un complemento de navegador […] Google intervino para eliminar una extensión falsa disponible en la tienda web para el navegador Chrome de la tienda web, la cual se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas. La extensión “ChatGPT para Google”, una versión troyanizada de un complemento de navegador de código abierto legítimo, atrajo más de 9.000 instalaciones desde el 14 de marzo de 2023, antes de su eliminación. Se subió originalmente a Chrome Web Store el 14 de febrero de 2023. Según la investigadora de Guardio Labs, Nati Tal, la extensión se propagó a través de resultados de búsqueda de Google patrocinados maliciosos que fueron diseñados para redirigir a los usuarios desprevenidos que buscaban “Chat GPT-4” a páginas de destino fraudulentas que apuntan al complemento falso. La instalación de la extensión agrega la funcionalidad prometida, es decir, mejora los motores de búsqueda con ChatGPT, pero también activa sigilosamente la capacidad de capturar cookies relacionadas con Facebook y filtrarlas a un servidor remoto de manera encriptada. Una vez en posesión de las cookies de la víctima, el autor de la amenaza toma el control de la cuenta de Facebook, cambia la contraseña, altera el nombre y la imagen del perfil e incluso la utiliza para difundir propaganda extremista. El desarrollo lo convierte en la segunda extensión falsa del navegador ChatGPT Chrome que se descubre en la naturaleza. La otra extensión, que también funcionaba como un ladrón de cuentas de Facebook, se distribuía a través de publicaciones patrocinadas en la plataforma de redes sociales. En todo caso, los hallazgos son otra prueba más de que los ciberdelincuentes son capaces de adaptar rápidamente sus campañas para sacar provecho de la popularidad de ChatGPT para distribuir malware y organizar ataques oportunistas. “Para los actores de amenazas, las posibilidades son infinitas: usar su perfil como un bot para comentarios, me gusta y otras actividades promocionales, o crear páginas y cuentas publicitarias usando su reputación e identidad mientras promocionan servicios que son legítimos y probablemente en su mayoría no”. @nivel4.com

Un troyano bancario denominado Mispadu se ha vinculado a múltiples campañas de spam dirigidas a países como Bolivia, Chile, México, Perú y Portugal con el objetivo de robar credenciales y entregar otras cargas útiles. La actividad, que comenzó en agosto de 2022, continúa actualmente, dijo Ocelot Team de la firma latinoamericana de ciberseguridad Metabase Q en un informe compartido con The Hacker News. Mispadu (también conocido como URSA) fue documentado por primera vez por ESET en noviembre de 2019, describiendo su capacidad para perpetrar robos monetarios y de credenciales y actuar como una puerta trasera al tomar capturas de pantalla y capturar pulsaciones de teclas. «Una de sus principales estrategias es comprometer sitios web legítimos, buscar versiones vulnerables de WordPress, convertirlos en su servidor de comando y control para propagar malware desde allí, filtrar países que no desean infectar, dejar caer diferentes tipos de malware basado en el país infectado», dijeron los investigadores Fernando García y Dan Regalado. También se dice que comparte similitudes con otros troyanos bancarios que apuntan a la región, como Grandoreiro , Javali y Lampion . Las cadenas de ataque que involucran el malware Delphi aprovechan los mensajes de correo electrónico que instan a los destinatarios a abrir facturas vencidas falsas, lo que desencadena un proceso de infección de varias etapas.  a abrir facturas vencidas falsas, lo que desencadena un proceso de infección de varias etapas. Si una víctima abre el archivo adjunto HTML enviado a través del correo electrónico no deseado, verifica que el archivo se abrió desde un dispositivo de escritorio y luego se redirige a un servidor remoto para obtener el malware de primera etapa. El archivo RAR o ZIP, cuando se inicia, está diseñado para hacer uso de certificados digitales falsos, uno que es el malware Mispadu y el otro, un instalador de AutoIT, para decodificar y ejecutar el troyano abusando de la utilidad de línea de comandos certutil legítima . Mispadu está equipado para recopilar la lista de soluciones antivirus instaladas en el host comprometido, desviar las credenciales de Google Chrome y Microsoft Outlook y facilitar la recuperación de malware adicional. Esto incluye un cuentagotas ofuscado de Visual Basic Script que sirve para descargar otra carga útil de un dominio codificado, una herramienta de acceso remoto basada en .NET que puede ejecutar comandos emitidos por un servidor controlado por actor y un cargador escrito en Rust que, en a su vez, ejecuta un cargador de PowerShell para ejecutar archivos directamente desde la memoria. Además, el malware utiliza pantallas superpuestas maliciosas para obtener credenciales asociadas con portales de banca en línea y otra información confidencial. Metabase Q señaló que el enfoque de certutil ha permitido a Mispadu eludir la detección de una amplia gama de software de seguridad y recolectar más de 90 000 credenciales de cuentas bancarias de más de 17 500 sitios web únicos. @thehackernews