Todos nos acostumbramos a la interminable sucesión de reuniones en línea que dominan nuestra vida laboral. Pero cuidado, algunas de esas reuniones pueden ser de repente más peligrosas de lo que creés...
Resulta que una aburrida reunión en línea podría no ser lo peor que puede pasar cuando aparece otra invitación de Zoom o Google Meet. "A partir de diciembre de 2023", acaban de advertir los investigadores de Zscaler, "descubrimos un actor de amenazas que crea sitios web fraudulentos de Skype, Google Meet y Zoom para propagar malware". La amenaza se dirige tanto a usuarios de Android como de Windows.
Los actores de amenazas detrás de este nuevo ataque diseñaron sitios web falsos para engañar a los usuarios para que instalen malware, con todo el proceso diseñado para replicar los sitios de instalación originales y auténticos donde los usuarios pueden descargar aplicaciones, según las indicaciones de los enlaces de reunión.
El ataque - que inicialmente se descubrió dirigido a usuarios rusos, pero que probablemente se extenderá más lejos - utilizaba URL falsas y sitios web muy parecidos a los auténticos. Cuando un usuario visita uno de los sitios falsos, al hacer clic en el botón de Android se inicia la descarga de un archivo APK malicioso, mientras que al hacer clic en el botón de Windows se desencadena la descarga de un archivo BAT. El archivo BAT, cuando se ejecuta, realiza acciones adicionales, que en última instancia conducen a la descarga de una carga útil RAT.
Las RAT específicas identificadas por los investigadores de Zscaler fueron SpyNote para Android, y tanto NjRAT como DCRat para sistemas Windows. Para dar una idea de la amenaza que supone este malware, SpyNote puede más o menos apoderarse de todo un dispositivo, capturando información y archivos del usuario y leyendo mensajes privados, escuchando a escondidas a través del micrófono del teléfono, e incluso activando grabaciones de pantalla.
Zscaler también informó del uso fraudulento de reuniones de Skype como parte de la campaña, pero serán Zoom y Google Meet los que causen más alarma, dado su uso generalizado en las empresas. El sitio web falso de Google Meet es online-cloudmeeting[.]pro, mientras que el de Zoom es us06webzoomus[.]pro.
Otro indicio de la astucia de la campaña es que dirigía a los usuarios a los sitios web legítimos para iOS, ya que sólo se dirigía a Windows y Android.
El uso de sitios web falsos para engañar a los usuarios y que hagan clic en enlaces aparentemente fiables está fuera de control. Y aunque la mayoría de los correos electrónicos fraudulentos (o invitaciones, en este caso) son obvios si te fijás bien, sólo necesitan engañarte una vez. "Los delincuentes cuentan con poder manipularte para que creas que estas comunicaciones falsas son reales", advierte el FBI, "lo que puede llevarte a descargar software malicioso, enviar dinero o revelar información personal, financiera u otra información sensible".
Esta campaña en concreto es astuta, ya que se basa en que los usuarios hagan clic casualmente en las URL de las reuniones sin comprobarlas cuidadosamente, algo más fácil de hacer que en un sitio web, según se piensa. Y, recordá que, como advierten los investigadores, "los atacantes alojaban estos sitios falsos utilizando URL que se parecían mucho a los sitios web reales". Así que hay que tener cuidado.
En respuesta a esta nueva investigación, un portavoz de Google me dijo que los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware por Google Play Protect, que está activado por defecto en los dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones conocidas por mostrar un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes externas a Play.
También me puse en contacto con Zoom y Microsoft para conocer sus comentarios sobre el informe.
Esta campaña compartirá enlaces a través del correo electrónico o las redes sociales, con mensajes diseñados para engañar a las víctimas y hacer que hagan clic. Como siempre, ahora que sabés que esta amenaza anda suelta, tené mucho cuidado. Sólo instalá estas aplicaciones de reuniones o iniciá sesión en las propias reuniones utilizando sitios auténticos con URL obviamente originales. En caso de duda, comprobá el origen del enlace o la invitación.
Acá hay otras cinco sencillas reglas que siempre vale la pena seguir:
- Mantenete sólo en las tiendas de aplicaciones oficiales: no uses tiendas de terceros y nunca cambies la configuración de seguridad de tu dispositivo para permitir que se cargue una aplicación.
- Comprobá el desarrollador en la descripción de la aplicación: ¿es alguien que te gustaría tener en tu vida? Y comprobá las reseñas, ¿parecen legítimas o cultivadas?
- No concedas permisos a una aplicación que no debería necesitar: las linternas y las aplicaciones para ver las estrellas no necesitan acceder a tus contactos y a tu teléfono. Y nunca concedas permisos de accesibilidad que faciliten el control del dispositivo a menos que sea necesario.
- Una vez al mes, revisá tu dispositivo y eliminá algunas de las aplicaciones que ya no necesites o que no hayas utilizado en mucho tiempo.
- No instales aplicaciones que enlacen con otras ya establecidas a menos que estés seguro de que son legítimas.
"Las empresas pueden ser objeto de amenazas que se hacen pasar por aplicaciones de reuniones en línea", advierte Zscaler. En este ejemplo, un actor de amenazas está utilizando estos señuelos para distribuir RATs para Android y Windows, que pueden robar información confidencial, registrar pulsaciones de teclas y robar archivos.
Ya estás avisado.
*Con información de Forbes US