Error de certificado: La campaña de malware que busca engañarte para que instales un backdoor

Una investigación reveló que por lo menos desde mediados de Enero, se encuentra activa una campaña de distribución de malware que busca engañar a los usuarios para que descarguen y ejecuten una aplicación maliciosa creyendo que están instalando un certificado de seguridad.

 

Los cibercriminales logran esto vulnerando diferentes sitios web y utilizando un iframe  del mismo tamaño que la web a través del que se cargan los contenidos presentes en otro sitio y se muestra un mensaje notificando al usuario sobre un supuesto error de certificado:

 

Security Certificate is out of date

Detected a potential security risk and has not extended the transition to ldfidfa.pw

Installing a security certificate may allow this connection to succeed.

NET:ERR_CERT_OUT_OF_DATE

 

La única opción que muestra este mensaje es la de “instalar” este supuesto certificado de seguridad, la cual descarga un binario llamado Certificate_Browser_02_2020.exe que una vez ejecutado se copia a C:\ProgramData\UBlockPlugin bajo el nombre plugin.exe y genera persistencia modificando la clave de Userinit HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Si bien la campaña parece estar de momento enfocada en usuarios de Chrome y el mensaje parece sólo estar disponible en inglés, en base a lo que hemos analizado es posible que los atacantes se encuentren adaptando el mismo ataque hacia los usuarios de otros navegadores web, pues encontramos archivos con sus nombres y diferentes mensajes:

 

Cabe mencionar que esta campaña parece estar evolucionando también respecto a las amenazas que distribuye, ya que ha sido vista desde mediados de Enero por analistas de Kaspersky distribuyendo Mokes y Buerak, dos backdoors diferentes.

 

Indicadores de compromiso

Binarios

25a3b0e052a2669fb007252c9d923a15518dd32b8e1e4cc9ed0fbb4353cf3347 | Certificate_Browser_02_2020.exe / plugin.exe (Detectado por Trend Micro como TROJ_GEN.R011C0PC120)

Direcciones IP

47.56.114.152 | https[:]//ldfidfa[.]pw

URLs

https[:]//ldfidfa[.]pw | Sitio web donde se hostean los mensajes de advertencia

http[:]//kenyabay[.]com/index_files/Certificate_Browser_02_2020.exe | URL desde donde se descarga el binario malicioso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *