Ciberdelincuentes utilizan anuncios de Google para impulsar el malware Bumblebee

Un grupo de investigadores ha identificado una serie de ataques maliciosos que propagan el malware Bumblebee para instalar ransomware en dispositivos de usuarios y de organizaciones, aprovechándose de páginas falsas de aplicaciones populares como Zoom o ChatGPT, divulgadas a través de anuncios infectados en línea de Google.

Bumblebee es un programa malicioso que los ciberdelincuentes utilizan como una herramienta de carga de ransomware en los dispositivos de usuarios. Es decir, una forma de secuestro de datos que, normalmente, es distribuido a través de ataques de ‘phishing’. Bumblebee es un reemplazo del malware conocido como BazarLoader.

En este marco, investigadores de SecureWorks han identificado varios casos de ataques recientes. En esta ocasión, se difunden a través de anuncios infectados en línea, como los anuncios de Google, según han informado desde SecureWorks Counter Threat Unit (CTU) en un comunicado en su blog.

Los anuncios maliciosos estaban vinculados a aplicaciones populares a las que los usuarios recurren habitualmente como Cisco AnyConnect, Zoom o ChatGPT. Así, los ciberdelincuentes utilizan este gancho para engañar a los usuarios que buscan instalar estos software legítimos y, sin saberlo, instalan Bumblebee a través de páginas de descarga falsas que promueven estos anuncios maliciosos para, posteriormente, acceder a su sistema e implementar ransomware.

Uno de los ataques con Bumblebee analizado por los investigadores, que tuvo lugar en el mes de febrero, utilizaba una página falsa de Cisco AnyConnect (http: //appcisco. com/vpncleint/cisco-anyconnect-4_9_0195.msi).

El ciberdelincuente creó esta página de descarga falsa de Cisco AnyConnect Secure Mobility a la que se accedía mediante un anuncio malicioso que se distribuía en los resultados de Google, y que enviaba a los usuarios a la página de descarga falsa a través de un sitio de WordPress comprometido.

Asimismo, los ciberdelincuentes utilizaron otras herramientas para realizar ataques de Kerberoasting, que se aprovechan del protocolo de autenticación de redes del ordenador Kerberos para recolectar credenciales de la base de datos de Active Directory. Los investigadores encontraron el mismo ‘modus operandi’ en otros casos con instaladores de ‘software’ y un nombre de ‘script’ de PowerShell relacionados, como es el caso de Zoom, que utilizaba ZoomInstaller.exe y zoom.ps1, o ChatGPT, que utilizaba ChatGPT.msi y chch.ps1.

Para evitar estos ataques, los investigadores de CTU han recomendado a las organizaciones y a los usuarios revisar que los instaladores y las actualizaciones de los programas se descarguen únicamente de sitios web de confianza.

Fuente: dpa

(Fuente imagen referencial: Freestocks, Unsplash)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos