Ten cuidado con los enlaces en los resultados de búsqueda de Google.
Los hackers han regresado a las prácticas de envenenamiento de SEO y suplantación de software.
Se ha descubierto una campaña maliciosa que utiliza páginas de aterrizaje falsas optimizadas para SEO con el fin de distribuir un cargador de malware conocido como Oyster. Investigadores de seguridad cibernética encontraron que los actores de amenaza han creado múltiples sitios que imitan a PuTTY y WinSCP, dos herramientas populares en Windows que permiten la conexión segura a servidores remotos.
Estas páginas son casi idénticas a las originales, lo que podría inducir a error a profesionales de IT, ciberseguridad y desarrollo web al buscar en Google estas herramientas. Si un usuario clica en una de estas páginas fraudulentas, podría descargar la herramienta legítima sin sospechar que se le está instalando también Oyster, un cargador de malware que algunas veces se conoce como Broomstick o CleanUpLoader.
Al ejecutar el software, se instala un backdoor conocido como Oyster/Broomstick. Según Arctic Wolf, "la persistencia se logra mediante la creación de una tarea programada que se ejecuta cada tres minutos, ejecutando un DLL malicioso (twain_96.dll) a través de rundll32.exe, utilizando la exportación DllRegisterServer, lo que indica el uso de registro DLL como parte del mecanismo de persistencia".
Oyster es un cargador de malware sigiloso que permite la entrega de cargas maliciosas adicionales en sistemas Windows infectados, frecuentemente como parte de ataques en múltiples etapas. Emplea técnicas como inyección de procesos, ofuscación de cadenas y comando y control a través de HTTPS para evadir la detección y mantener su persistencia.
Algunos de los sitios falsos identificados en estos ataques incluyen updaterputty[.]com, zephyrhype[.]computty[.]run, putty[.]bet y puttyy[.]org. Aunque Arctic Wolf solo menciona a PuTTY y WinSCP, se advierte que otras herramientas pueden haber sido utilizadas de manera similar en esta campaña. Por lo tanto, se recomienda a los profesionales de IT descargar software únicamente de fuentes confiables y escribir las direcciones manualmente, en lugar de hacer búsquedas en Google y clicar en el primer resultado.
