Proofpoint ha observado una mayor actividad de amenazas que emplean actualizaciones falsas del navegador para engañar a usuarios y hacer que descarguen malware, entre las que aparecen páginas web comprometidas de Chrome, Firefox o Edge en español.
De acuerdo con esta investigación, los ciberdelincuentes no están enviando emails maliciosos para compartir los enlaces a estos sitios, sino que la amenaza está en el navegador y puede iniciarse con un clic desde un correo electrónico legítimo y esperado por el usuario, redes sociales, consultas en un motor de búsqueda o simplemente navegando por la web comprometida. El abuso por parte de atacantes, mediante tácticas de ingeniería social, de la confianza que se deposita en estos navegadores dificulta a los equipos de seguridad detectar, prevenir y comunicar acerca de estas amenazas a los usuarios finales.
Señuelo de ClearFake solicitando una falsa actualización de Chrome. Imagen: Proofpoint.
Proofpoint ha identificado cuatro grupos de amenazas diferentes —SocGholish, RogueRaticate, SmartApeSG y ClearFake— que difunden a posibles víctimas el mensaje de que el software de su navegador necesita actualizarse. Aunque cada campaña cuenta con sus propios métodos para entregar tantos los señuelos como payloads, comparten algunas características generales que pueden describirse como tres etapas distintas: la primera, inyección maliciosa en un sitio web legítimo, pero comprometido; la segunda, alojamiento del señuelo y la payload; y, por último, su ejecución en un host después de la descarga.
“Estamos ante una interesante amenaza que combina capacidades técnicas únicas con ingeniería social para convencer a la gente de que su navegador no está actualizado. Su uso cada vez está más extendido, porque funciona, y se aprovecha del deseo de una persona de asegurar su entorno y proteger su información, pero haciendo justamente lo contrario. Este señuelo expone al individuo desprevenido a malware dañino que puede robar datos, controlar remotamente un ordenador o incluso conducir a ransomware”, explica el equipo de investigación de Proofpoint.
En materia de concienciación sobre ciberseguridad, siempre se pide a los usuarios que sólo acepten actualizaciones o hagan clic en enlaces de sitios o individuos conocidos o confiables, y que verifiquen que los sitios sean legítimos, lo cual hace que estas amenazas en las que se sobrescribe el sitio web existente sean tan exitosas. Ante esto, Proofpoint señala que la mejor mitigación es la defensa en profundidad de las organizaciones, con detecciones de red y protección de endpoints, además de la capacitación de los usuarios para identificar e informar sobre actividades sospechosas a los equipos de seguridad.
