Las aplicaciones VPN son cada vez más populares entre el público. Parece que los actores maliciosos se han dado cuenta de ello y los han incorporado a sus innumerables estrategias para intentar engañar a las posibles víctimas. Google ahora advierte sobre una amenaza que involucra aplicaciones VPN troyanizadas y la manipulación de los resultados de búsqueda para instalar malware.
El equipo de Managed Defense de Google detectó un método basado en engañar al usuario para que descargue aplicaciones VPN de sitios web maliciosos que pretendían ser los oficiales. La aplicación VPN está troyanizada para que, al instalarla, los atacantes puedan obtener una serie de privilegios de acción remota en su PC.
Google advierte sobre amenazas basadas en aplicaciones VPN troyanizadas
Según el informe de los investigadores«el El malware se incluye en aplicaciones populares, como LetsVPN, y se distribuye mediante envenenamiento de SEO..” El envenenamiento de SEO es un método de manipulación utilizado por los atacantes para colocar sus propios sitios web en la parte superior de los resultados de búsqueda. Esto hace que los usuarios piensen que están accediendo a un sitio web legítimo cuando, en realidad, es malicioso.
La mayoría de las veces, la gente piensa que un sitio web es más confiable o real si ocupa un lugar más alto en los resultados de búsqueda. El envenenamiento de SEO se aplica principalmente a los resultados relacionados con las descargas de aplicaciones VPN. Sin embargo, los primeros resultados conducen a la descarga de VPN troyanizadas con el malware «Playfulghost». Playfulghost es “una puerta trasera que comparte funcionalidad con Gh0st RAT,”, dice el informe.
Gh0st RAT (Terminal de acceso remoto) es una herramienta de administración remota que existe desde al menos 2008. Por lo tanto, los ataques basados en su tecnología No son exactamente nuevos. Playfulghost es similar. Sin embargo, tiene sus propios patrones de tráfico y cifrado que lo hacen lo suficientemente diferente como para llamarlo una herramienta diferente.
El malware dará acceso remoto a su PC a los atacantes
Playfulghost permite varias posibilidades de control remoto del ordenador infectado al atacante. Los actores maliciosos pueden abrir, eliminar y escribir archivos nuevos, por ejemplo. Además, la herramienta puede capturar y enviar a un servidor remoto registros de claves, capturas de pantalla y audio.
El envenenamiento de SEO no es el único método engañoso utilizado por los atacantes. También recurren a los clásicos ataques de phishing mediante correos electrónicos con enlaces a sitios maliciosos desde los que descargar VPN troyanizadas. Es de destacar que también existen casos de infección por ejecutables camuflados. Google describe el caso de una víctima que abrió una “imagen” que en realidad era el malware Playfulghost.
Visto lo que hemos visto, no se puede confiar al 100% en el posicionamiento de un sitio web en los resultados de los motores de búsqueda para determinar su legitimidad. Entonces, cuando quieras descargar software, es mejor escribir el nombre del sitio oficial. Esto te llevará más tiempo, pero podría ahorrarte muchos dolores de cabeza.
Fuente: Android Headlines