Madrid, 1 de abril de 2024 – ThreatLabZ, el equipo de investigación de Zscaler, Inc. (NASDAQ: ZS), empresa líder de seguridad en la nube, ha descubierto un actor de amenazas que se dedicaba a crear páginas web fraudulentas de reconocidas empresas de reuniones online como Skype, Google Meet y Zoom para difundir diversas familias de malware.
En este sentido, el actor de amenazas propaga troyanos de acceso remoto (RAT), incluido SpyNote RAT, en plataformas de Android, así como NjRAT y DCRat en Windows. Se trata de una campaña maliciosa que suplanta aplicaciones móviles legítimas. “A medida que las ciberamenazas continúan evolucionando y volviéndose cada vez más complejas, es fundamental permanecer alerta y tomar medidas proactivas para protegerse contra ellas”, explican desde el equipo de ThreatLabZ. Por este motivo, los expertos muestran cómo se pueden identificar las URL y archivos maliciosos de este tipo de malware:
1. Skype
El atacante utilizó un alojamiento web compartido en una única dirección IP. Durante la investigación, ThreatLabZ, identificó que el primer sitio web falso, join-skype[.]info, se había creado a principios de diciembre para que los usuarios se descargaran una aplicación de Skype falsa. El botón de Windows apuntaba a un archivo llamado Skype8.exe y el de Google Play a Skype.apk (ninguno de estos archivos estaba disponibles en el momento del análisis). Asimismo, observaron que el actor de la amenaza no tenía como objetivo a los usuarios de iOS.
La web fraudulenta de Skype, con un dominio falso que pretende parecerse al dominio legítimo
2. Google Meet
A finales del mismo mes, los ciberdelincuentes crearon otro sitio falso, online-cloudmeeting[.]pro, imitando a Google Meet. Esta web fraudulenta se creó deliberadamente para parecerse a un enlace de entrada a la aplicación. Los códigos de invitación originales de Google Meet suelen seguir la estructura: [az]{3}-[az]{4}-[az]{3}.
Además, según los expertos, esta estafa se puede apreciar también por el falso dominio en la barra de direcciones de una aplicación falsa de Google Meet para Windows que enlaza con un archivo BAT malicioso que descarga y ejecuta malware.
El enlace de Android en esta figura conducía a un archivo APK SpyNote RAT llamado meet.apk
3. Zoom
Por último, a finales de enero, ThreatLabZ detectó la un Zoom falso, us06webzoomus[.]pro, con un enlace que se parece mucho a una ID de reunión generada por el cliente Zoom. Si un usuario accede al enlace de Google Play, se descargará un archivo llamado Zoom02.apk que contiene SpyNote RAT, descargando un archivo BAT y, a su vez, una carga útil DCRat.
Al igual que en los casos anteriores, la página falsa de Zoom, muestra un dominio similar al auténtico en la barra de direcciones y un enlace al archivo APK malicioso que contiene SpyNote RAT cuando se accede al botón Google.
La página web fraudulenta de Zoom
“Nuestra investigación demuestra que las empresas pueden estar sujetas a amenazas de suplantación, como ha sucedido en este caso con las aplicaciones de reuniones telemáticas. En este ejemplo, un actor de amenazas está utilizando estos señuelos para distribuir RAT en Android y Windows, que pueden robar información confidencial, registrar pulsaciones de teclas y robar archivos. Estos hallazgos resaltan la necesidad de medidas de seguridad sólidas para proteger contra amenazas de malware avanzadas y en evolución, así como la importancia de actualizaciones y parches de seguridad periódicos”, concluyen los investigadores.
Acerca de Zscaler
Zscaler (NASDAQ: ZS) acelera la transformación digital para que los clientes puedan ser más ágiles, eficientes, resilientes y seguros. La plataforma Zscaler Zero Trust Exchange™ protege a miles de clientes de los ciberataques y de la pérdida de datos mediante la conexión segura de los usuarios, dispositivos y aplicaciones desde cualquier lugar. Distribuida a través de más de 150 centros de datos en todo el mundo, Zero Trust Exchange™ basada en SSE es la plataforma de seguridad en línea en la nube más grande del mundo. Más información en www.zscaler.com o Twitter @Zscaler.
Zscaler™ y otras marcas registradas en https://www.zscaler.com/legal/trademarks son (i) marcas registradas o marcas de servicio de Zscaler, Inc. en los Estados Unidos y/u otros países. Cualquier otra marca comercial es propiedad de sus respectivos propietarios.