Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Los malintencionados difunden un backdoor peligroso como si fuera una actualización del navegador Chrome

25 de marzo de 2020

Los analistas de virus de la empresa Doctor Web informan sobre un compromiso de algunos sitios web — de blogs de noticias a recursos corporativos, — creados con CMS WordPress. Un script en JavaScript incrustado en el código de las páginas hackeadas redirige a los visitantes a la página web de phishing donde a los usuarios se les ofrece instalar una actualización de seguridad importante para el navegador Chrome. El archivo descargado es un instalador de software malicioso que permite a los malintencionados administrar a distancia los equipos infectados. Hasta la fecha la “actualización” ha sido descargada por más de 2000 personas.

Según los datos del laboratorio de virus Doctor Web, los atacantes son un grupo de malintencionados que anteriormente habían participado en la propagación de un instalador falsificado del editor de vídeo VSDC, tanto a través del sitio web oficial del programa, como a través de los catálogos terceros. Esta vez los hackers han conseguido el acceso administrativo a CMS de algunos sitios web que empezaron a usarse en la cadena de infección. En los códigos de las páginas de los sitios web comprometidos está incrustado un script en JavaScript que redirige a los usuarios a una página web phishing camuflada por un recurso oficial de la empresa Google.

#drweb

Los usuarios se seleccionan a base de su geolocalización y la detección del navegador del usuario. El público objetivo son los visitantes de los EE.UU., Canadá, Australia, Gran Bretaña, Israel y Turquía que usan el navegador Google Chrome. Cabe destacar que el archivo descargado tiene firma digital válida igual a la firma del instalador falsificado NordVPN difundido por el mismo grupo de delincuentes.

El mecanismo de infección ha sido realizado de forma siguiente. Al iniciar el programa, en el directorio %userappdata% se crea una carpeta que contiene archivos de la utilidad de administración remota de TeamViewer, y también se descomprimen dos archivos SFX protegidos con la contraseña. En un archivo hay una biblioteca maliciosa msi.dll que permite establecer conexión no autorizada con el equipo infectado y un archivo de paquete para iniciar el navegador Chrome con la página de inicio Google[.]com. Desde el segundo archivo se extrae un script para esquivar la protección antivirus incrustada del SO Windows. La biblioteca maliciosa msi.dll se carga en la memoria por el proceso TeamViewer, y al mismo tiempo oculta al usuario el funcionamiento del mismo.

Con este backdoor, los malintencionados pueden entregar la carga útil a los dispositivos infectados, en aplicaciones maliciosas. Entre las mismas hay:

  • Un keylogger X-Key Keylogger,
  • Un stealer Predator The Thief,
  • Un troyan para la administración remota por protocolo RDP.

Todas las amenazas detectadas se detectan correctamente por los productos Dr.Web y no son peligrosos para nuestros usuarios. La página phishing con el contenido malicioso ha sido añadida a la lista de los sitios web peligrosos y no recomendados.

Indicadores del compromiso

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А