Actualizaciones falsas de Chrome y Firefox infectan tu PC con malware

actualizaciones falsas navegador

Un equipo de investigadores de la firma de seguridad Malwarebytes ha identificado una campaña que distribuye malware para Windows mediante actualizaciones falsas para Google Chrome, Mozilla Firefox e Internet Explorer

De acuerdo con el informe de la compañía, la campaña maliciosa, que ha sido bautizada con el nombre de FakeUpdates, utiliza una combinación de sitios web legítimos comprometidos y técnicas de ingeniería social para distribuir Chtonic, una variante del troyano bancario ZeusVM que roba los credenciales de los servicios financieros de las víctimas, o NetSupport, una herramienta de acceso remoto 

Para infectar a los usuarios, FakeUpdates se vale de páginas que emplean versiones desactualizadas de los gestores de contenido Joomla, Wordpress y Squarespace. Los ciberdelincuentes aprovechan las vulnerabilidades de estas webs para inyectar el código malicioso necesario para que aparezcan las ventanas emergentes con las actualizaciones falsas mientras los usuarios las están visitando.

Protege tu ordenador con los antivirus más vendidos de Amazon España

Los pop-ups imitan los mensajes legítimos de actualización de los navegadores, y al hacer clic en el botón de instalar actualización se inicia la descarga de un archivo JavaScript alojado en Dropbox, que ha sido especialmente diseñado para burlar el software de seguridad. El JavaScript recopila datos sobre el sistema operativo de destino, incluida la dirección MAC, la BIOS, los procesos, el fabricante y su arquitectura. Una vez que ha obtenido esta información, efectúa la instalación del troyano bancario Zeus VM o la herramienta de acceso remoto NetSupport.

"Esta campaña se basa en un mecanismo de entrega que aprovecha la ingeniería social y abusa de un servicio legítimo de alojamiento de archivos", explica Jerome Segura en el blog de Malwarebytes. "El archivo cebo consiste en una secuencia de comandos en lugar de un archivo ejecutable malicioso, dando a los atacantes más flexibilidad para desarrollar técnicas interesantes de ofuscación".

Desde Malwarebytes advierten que la campaña FakeUpdates está activa desde diciembre de 2017. Los investigadores estiman que hay más de 900 sitios web creados con Squarespace afectados; no manejan una cifra confirmada de las páginas de Wordpress y Joomla que han sido comprometidas, pero suponen que se trata de miles, así que extrema la precaución si ves una ventana de actualización del navegador.

[Fuente: Malwarebytes | Foto: Thinkstock]