Saltar al contenido
Cosas Tecnológicas

Con la ayuda de Google, el sitio web falso de Brave.com impulsa el malware

Se ha descubierto que los estafadores utilizan medios inteligentes para hacerse pasar por el sitio web del navegador Brave y usarlo en los anuncios de Google para impulsar malware que controla el navegador y roba datos confidenciales.

El ataque funciona registrando el dominio xn – brav-yva[.]com, una cadena codificada, usa el llamado punycode para representar bravė[.]com, cuando se muestra en la barra de direcciones del navegador, el nombre es confusamente similar a brave.com, donde la gente descarga el navegador Brave.valiente[.]com (tenga en cuenta el acento en la letra E) es casi una copia perfecta de brave.com, con una excepción clave: el botón “Descargar Brave” tomó un archivo que instaló malware llamado ArechClient y SectopRat.

De Google al malware en 10 segundos

Para aumentar el tráfico a sitios web falsos, los estafadores compraron anuncios en Google, que se mostraban cuando las personas buscaban contenido relacionado con navegadores. El anuncio parece bastante suave. Como se muestra en la figura siguiente, el dominio que muestra un anuncio es mckelveytees.com, que es un sitio web que vende ropa para profesionales.

Pero cuando las personas hacen clic en uno de los anuncios, los guiará a través de varios dominios intermedios hasta que finalmente aterricen en brav[.]com. Jonathan Sampson, un desarrollador web que trabaja para Brave, dijo que el archivo descargable tiene una imagen ISO de 303 MB. Dentro hay un solo archivo ejecutable.

VirusTotal mostró inmediatamente algunos motores anti-malware que detectan ISO y EXE. En el momento de la publicación de este artículo, las imágenes ISO tienen 8 inspecciones, mientras que EXE tiene 16 inspecciones.

El malware detectado tiene varios nombres, incluidos ArechClient y SectopRat. Un análisis de 2019 de la empresa de seguridad G Data descubrió que se trata de un troyano de acceso remoto que puede transmitir el escritorio actual del usuario o crear un segundo escritorio invisible que un atacante puede usar para navegar por Internet.

En un análisis de seguimiento publicado en febrero, G Data declaró que el malware se ha actualizado para agregar nuevas características y funciones, incluidas las comunicaciones cifradas con el servidor de control y comando controlado por el atacante. Un análisis separado encontró que se ha “conectado al servidor C2, analizar el sistema, robar el historial del navegador de navegadores como Chrome y Firefox, etc.”.

Como se muestra en la búsqueda de DNS pasiva de DNSDB Scout, la dirección IP que aloja el sitio falso de Brave ha estado alojando otros dominios de punycode sospechosos, incluidos xn--ldgr-xvaj.com, xn--sgnal-m3a.com, xn-- Teleram – ncb.com y xn--brav-8va.com. Estos se convirtieron en lędgėr.com, sīgnal.com teleģram.com y bravę.com. Todos los nombres de dominio están registrados a través de NameCheap.

Viejos ataques aún en su apogeo

Martijn Grooten, director de investigación de inteligencia de amenazas en la empresa de seguridad Silent Push, comenzó a preguntarse si los atacantes detrás de la estafa alojaban otros sitios web similares en otras direcciones IP. Él usa el producto Silent Push para buscar otros dominios de código puny registrados con NameCheap y usando el mismo servidor web. También visitó otros siete sitios web igualmente sospechosos.

El resultado, incluido el código puny y el dominio traducido, es:

  • xn – screncast-ehb.com — screēncast.com
  • xn – flghtsimulator-mdc.com — flīghtsimulator.com.
  • xn – brav-eva.com — bravē.com
  • xn – xodus-hza.com — ēxodus.com
  • xn – tradingvew-8sb.com — tradingvīew.com
  • xn--torbrwser-zxb.com—torbrwser.com
  • xn – tlegram-w7a.com — tēlegram.com

Una vez que Brave llamó la atención de la empresa, Google eliminó estos anuncios maliciosos. NameCheap eliminó el dominio malicioso después de recibir la notificación.

Uno de los aspectos aterradores de estos ataques es que son difíciles de detectar. Dado que el atacante tiene el control total del dominio punycode, el sitio impostor tendrá un certificado TLS válido. Cuando el dominio aloja una copia exacta de un sitio web falsificado, incluso las personas preocupadas por la seguridad pueden ser engañadas.

Desafortunadamente, no existe una forma clara de evitar estas amenazas que no sea pasar unos segundos más para verificar la URL que se muestra en la barra de direcciones. Los ataques que utilizan dominios basados ​​en punycode no son nada nuevo. La imitación de Brave.com de esta semana muestra que no estarán desactualizados en el corto plazo.