CAMPAÑA TYPOSQUAT IMITA A MARCAS PARA DISTRIBUIR MALWARE

Recientemente investigadores de seguridad detectaron una campaña maliciosa masiva que utiliza dominios de typosquatting (clase de ataque de ingeniería social), que se hacen pasar por marcas para engañar a los visitantes para que descarguen varios programas que contienen malware en sistemas operativos Windows y Android.

 

Servicios Afectados

•  Sistemas operativos Windows
• Sistemas operativos Android

 

Detalles Tecnicos

CVE: ---

Severidad:   ALTA

Typosquatting es un método antiguo para engañar a las personas para que visiten un sitio web falso mediante el registro de un nombre de dominio similar al que usan las marcas genuinas, se identifico que lo dominios empleados en esta campaña son muy parecidos a los auténticos, presentando un cambio de posición de una sola letra o una "s" adicional, lo que facilita que las personas los pasen por alto.
En términos de apariencia, en la mayoría de los casos vistos por investigadores de seguirad, los sitios web maliciosos son clones de los originales o al menos lo suficientemente convincentes.

Las víctimas generalmente terminan en estos sitios al escribir mal el nombre del sitio web que desean visitar en la barra de URL del navegador, lo cual no es raro cuando se escribe en un dispositivo móvil. Sin embargo, los usuarios también pueden ser guiados a estos sitios a través de correos electrónicos o SMS de phishing, mensajes directos, redes sociales y publicaciones en foros, y otras formas.

Los casos que dirigen a los usuarios que intentan descargar los APK se asocian con el malware ERMAC, informado en nuestro Boletín SecureSoft-Nro. 2022-610, un troyano bancario dirigido a cuentas bancarias y billeteras de criptomonedas.

Esta campaña se encuentra dirigida a Servicios, aplicaciones móviles, Software, criptomoneda, Negociación de criptomonedas y sitios web, estos se crearon para hacerse pasar por marcas populares, para distribuir malware de en sistemas operativos Windows, robar claves de recuperación de criptomonedas y, impulsar el malware de en sistemas operativos Android.

Indicadores de Compromiso

Dominio

payce-google[.]com

snanpckat-apk[.]com

vidmates-app[.]com

paltpal-apk[.]com

m-apkpures[.]com

tlktok-apk[.]link

thundersbird[.]org

codevisualstudio[.]org

braves-browsers[.]org

ethersmine[.]com

URL

hxxp://payce-google[.]com/

hxxp://vidmates-app[.]com/

hxxp://paltpal-apk[.]com/

hxxp://m-apkpures[.]com/

hxxps://thundersbird[.]org/

hxxps://codevisualstudio[.]org/

hxxps://braves-browsers[.]org/

hxxps://ethersmine[.]com/

HASH

MD5: 8b98b83995dd9d43aa8d635d497e2e3a 

SHA256: eba6553bdf687717dd4c80f46011883fd872f8c9f249750d6969544c3eb450f3 

MD5: ae5299bd60e38f9a26797baf770b8ed7 

SHA256: 035406ee8b4d26ae7d6cd7d63f35638133a13f424854a596ab5691a0e4cc27e4 

MD5: e316df9fd6fb0e90d9f04b54ab2aa754 

SHA256: e0025429e4df2397ffc54922750fb810938d19002f79ecb534331fc79970787c 

MD5: 5e7c30034e9fee55a5d94bffccd8b51c 

SHA256: 3d93afde89adf1cedda84ef4d47a3b2ede2a5042936300b5011c66f403ac7e1f 

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: Typosquat campaign mimics 27 brands to push Windows, Android malware
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com