Los investigadores de seguridad cibernética han revelado una campaña maliciosa que aprovecha las técnicas de envenenamiento de la optimización del motor de búsqueda (SEO) para entregar un cargador de malware conocido llamado Oyster (todavía conocido como Broomstick o CleanuplOADER).
La actividad malvertida, según el lobo ártico, promueve sitios web falsos que alojan versiones troyanizadas de herramientas legítimas como masilla y winscp, con el objetivo de engañar a los profesionales de software que buscan estos programas para instalarlos en su circunstancia.
“Tras la ejecución, se instala una puerta trasera conocida como Oyster/Broomstick”, dijo la compañía en un breve publicado la semana pasada.
“La persistencia se establece mediante la creación de una tarea programada que se ejecuta cada tres minutos, ejecutando una DLL maliciosa (TWAIN_96.DLL) a través de RunDll32.exe utilizando la exportación DllRregisterServer, lo que indica el uso del registro de DLL como parte del mecanismo de persistencia”.
Los nombres de algunos de los sitios web falsos se enumeran a continuación –
- updaterputty (.) com
- zephyrhype (.) com
- masilla (.) Run
- masilla (.) postura, y
- PUTTYY (.) Org
Se sospecha que los actores de amenaza detrás de la campaña todavía pueden estar apuntando a otras herramientas de TI para entregar el malware, lo que hace que sea imperativo que los usuarios se adhieran a fuentes confiables y sitios de proveedores oficiales para descargar el software necesario.
La divulgación se produce cuando las técnicas de envenenamiento de SEO de sombrero enojado se están utilizando para los resultados de búsqueda de juegos asociados con las palabras esencia relacionadas con la inteligencia fabricado (IA) para difundir Vidar, Lumma y Legion Loader.
Estos sitios web vienen equipados con un código JavaScript que verifica la presencia de bloqueadores de anuncios y reúne información del navegador de la víctima, antaño de iniciar una dependencia de redirección que finalmente lleva a la víctima a una página de phishing que aloja un archivo zip.
“Las páginas de descarga finales en esta campaña entregan Vidar Stealer y Lumma Stealer como archivos ZIP protegidos con contraseña, con la contraseña proporcionada en la página de descarga final”, dijo Zscaler Denacera. “Una vez extraídos, contienen un instalador NSIS de 800 MB, un tamaño engañosamente alto destinado a parecer legal y los sistemas de detección de derivación con limitaciones del tamaño del archivo”.
El instalador NSIS se utiliza para ejecutar un script Autoit que finalmente es responsable de iniciar las cargas efectos de Stealer. El mecanismo de entrega para Legion Loader, en contraste, aprovecha un instalador MSI para implementar el malware a través de un script por lotes.
Se ha observado que una campaña de envenenamiento de SEO similar eleva las páginas de phishing cuando los usuarios buscan los nombres de las aplicaciones web populares para dirigir a los usuarios a falsificar páginas de control de Cloudflare Captcha que utilizan la infame organización de ClickFix para soltar Redline Stealer a través del cargador de secuestro.
Según los datos compilados por Kaspersky, las empresas pequeñas y medianas (PYME) están siendo atacadas cada vez más por ataques cibernéticos que ofrecen malware disfrazado de AI y herramientas de colaboración populares como OpenAI Chatgpt, Deepseek, Cisco AnyConnect, Google Drive, Microsoft Office, Microsoft Teams, Salesforce y Teleobjetivo.
“Entre en enero y abril de 2025 solo, en torno a de 8.500 usuarios comerciales pequeños y medianos fueron atacados por ataques cibernéticos en los que el malware o el software potencialmente no deseado estaban disfrazados de estas herramientas populares”, dijo la compañía de seguridad cibernética rusa.
Teleobjetivo representó aproximadamente el 41%del número total de archivos únicos, seguido de Outlook y PowerPoint al 16%cada uno, sobresaliendo al 12%, palabra al 9%y equipos al 5%. El número de archivos maliciosos únicos que imitan el chatgpt aumentó en un 115% a 177 en los primeros cuatro meses de 2025.
Si correctamente la tendencia de atropellar de los listados de motores de búsqueda falsos para servirse las implícitas de los usuarios en las marcas populares es una táctica correctamente conocida, las campañas recientes han secuestrado búsquedas de páginas de soporte técnico vinculado a Apple, Bank of America, Facebook, HP, Microsoft, Netflix y PayPal para atender páginas legítimas a través de los resultados patrocinados en Google, pero con un giramiento invenioso.
“Los visitantes son llevados a la sección de Ayuda/Soporte del sitio web de la marca, pero en circunstancia del número de teléfono acreditado, los secuestradores muestran su número de estafa”, dijo Malwarebytes.
Esto se logra mediante una técnica citación inyección de parámetros de búsqueda para mostrar adentro de una mostrador de búsqueda, un número que está bajo el control del atacante para dar la impresión de que es un resultado oficial de búsqueda adentro de las páginas del centro de ayuda y engaña a los usuarios desprevenidos para que los llamen.
Lo que hace que el ataque sea particularmente insidioso es que los parámetros agregados a la derecha del dominio del centro de ayuda positivo (por ejemplo, “llámenos 1-***-***-**** infundado”) no son visibles en el resultado de la búsqueda patrocinada, por lo que no dan ninguna razón para que los usuarios sospechen que cualquier cosa está mal.
No es solo la plataforma publicitaria de Google. Los actores de amenaza todavía han sido atrapados sirviendo anuncios falsos en Facebook para Phish para las frases de recuperación de la billetera de criptomonedas y difundiendo malware inmediato con PI2day, un evento anual vinculado a la comunidad de la red PI.
El malware, difundido a través de anuncios que instan a los usuarios a instalar una nueva traducción de la aplicación PI Network Desktop para Windows, viene con capacidades para robar credenciales guardadas y claves de billetera criptográfica, registrar la entrada del becario y descargar cargas efectos adicionales, todo lo que evade la detección.
La compañía de ciberseguridad rumana Bitdefender dijo que la actividad es posiblemente el trabajo de un actor de amenaza única que “ejecuta esquemas de fraude paralelo en Meta para maximizar el resonancia, la rendimiento financiera y la eficiencia de la orientación”.
No termina aquí, para los sitios web falsos que se hacen ocurrir por IA, servicios de VPN y otras marcas de software conocidas que entregan Poseidon Stealer en los sistemas MacOS y un cargador denominado cargador de día de suscripción, que luego actúa como un conducto para el robador de lumma en las máquinas de Windows. La actividad ha sido nombrada en código Dark Partners por el investigador de seguridad G0NJXA.
El cargador de día de suscripción se apoyo en los enlaces del calendario de Google como un resolución de caída muerta para extraer el servidor de comando y control (C2) y obtener un código JavaScript ofuscado diseñado para cargar la carga útil de Lumma y los datos sensibles al sifón.
Curiosamente, la dirección de correo electrónico utilizada para crear los eventos del calendario de Google (“Echeverridelfin@gmail (.) Com”) todavía se vio en relación con un paquete zorro de NPM llamado “OS-Info-Checker-ES6”. Esto indica que los actores de los socios oscuros probablemente hayan experimentado con diferentes mecanismos de entrega.
“El cargador de día de suscripción tiene un módulo Node.js Stealer para exfiltrar los datos de la billetera de las criptomonedas a un C2 extranjero”, dijo G0NJXA. “Usando la biblioteca ADM-ZIP para Node.js, el cargador de día de suscripción puede encontrar, enfardar y dirigir información de billetera a un host C2 codificado”.
Estas campañas van de la mano con un aberración en curso donde los estafadores y los ciberdelincuentes establecen redes en expansión que comprenden miles de sitios web para falsificar marcas populares y cometer fraude financiero al anunciar productos reales que nunca se entregan. Una de esas redes, denominada Ghostvendors por Silent Push, negocio espacio de anuncios de Facebook para promover más de 4,000 sitios incompletos.
Los anuncios maliciosos del mercado de Facebook se ejecutan durante unos días, a posteriori de lo cual se detienen, eliminando efectivamente todos los rastros de ellos de la biblioteca de meta anuncios. Vale la pena señalar que Meta solo ha retenido anuncios sobre asuntos sociales, elecciones y política durante los últimos siete primaveras.
“Esto ayudó a confirmar que existía una política conocida de la biblioteca de meta publicidad, y destacó que potencialmente estos actores de amenazas estaban aprovechando esto al exhalar y detener rápidamente anuncios para productos similares en diferentes páginas”, dijeron los investigadores de Silent Push.
Se evalúa que otra red pinta por la compañía, dirigida a compradores de inglés y castellano con anuncios de mercado falsos, es el trabajo de los actores de amenaza china. Estos sitios web están diseñados principalmente para robar información de la polímero de crédito ingresada en las páginas de suscripción, al tiempo que afirman procesar los pedidos. Algunos de los sitios falsos todavía incluyen widgets de negocio de Google Pay para habilitar los pagos.
“Esta campaña del mercado falsificado se dirige principalmente a los consumidores con una amenaza de phishing que explota las principales marcas, las organizaciones conocidas y la auge de algunas figuras políticas”, dijo Silent Push.
