Los hackers se dirigen a los chinos con instaladores de Notepad++ y Vnote
En una revelación reciente de los expertos en ciberseguridad de Kaspersky Labs, ha surgido una preocupante ciberamenaza dirigida a los usuarios de populares programas de edición de texto en China. Este sofisticado ataque consiste en la distribución de versiones alteradas de conocidos editores como Notepad++ y Vnote Installerscuyo objetivo es infiltrar malware dañino en los sistemas de los usuarios.
Instaladores de Notepad++ y Vnote - Las tácticas engañosas
Empleando una táctica conocida como "malvertising junto con la manipulación de los motores de búsqueda, las amenazas colocan estratégicamente anuncios falsos y manipulan los resultados de las búsquedas. Esta astuta estrategia redirige a los usuarios desprevenidos que buscan estos editores de texto a sitios web maliciosos que se hacen pasar por páginas de descarga oficiales.
Un investigador de Kaspersky Labs arrojó luz sobre el método empleado por estos atacantes, "Utilizando typosquatting y otras técnicas, los atacantes intentaron que sus recursos se parecieran lo más posible a los sitios web oficiales de programas populares. En esta ocasión, una amenaza similar ha afectado a los usuarios de uno de los buscadores más populares de la Internet china."
Desvelar la intención maliciosa
La investigación de Kaspersky Labs ha identificado dos falsos instaladores de software en los que anuncios y resultados de búsqueda llevaban a los usuarios a descargar versiones troyanizadas de estos queridos editores de texto. Por ejemplo, una búsqueda de Notepad++ dirigía a los usuarios a un sitio engañoso que ofrecía descargas de una variante llamada Notepad-, incrustada con malware.
Curiosamente, mientras que las versiones de Linux y macOS fueron infectadas, la versión de Windows no se vio afectada. Del mismo modo, los usuarios que buscaban VNote, otro popular editor de texto, se encontraron con un destino similar, lo que indica un enfoque compartido entre las dos instancias.
Las nefastas consecuencias de la infección
Tras analizar las versiones comprometidas de Notepad- para Linux y macOS, Kaspersky Labs descubrió modificaciones alarmantes. El sitio problemas de seguridad de NotepadNotepad++, haciéndose pasar por software legítimo, activa una clase llamada Uplocal antes del lanzamiento de la aplicación. Esto inicia la descarga y ejecución de un archivo desde un servidor malicioso, que alberga una puerta trasera identificada como DPysMac64, similar al notorio Geacon - un clon del agente CobaltStrike.
Esta puerta trasera, adaptada tanto para Linux como para macOS, facilita la comunicación con su servidor de mando y control a través de HTTPS, lo que apunta a una sofisticada red orientada al ciberespionaje. Curiosamente, los atacantes apodaron al proyecto responsable de ejecutar los comandos remotos como "spacex".
Los escurridizos culpables del ataque a los instaladores de Notepad++ y Vnote
A pesar de investigaciones en cursolas identidades de los anuncios maliciosos dirigidos a usuarios chinos a través de Notepad++ y Vnote siguen siendo difíciles de identificar. Sin embargo, los hallazgos de Kaspersky Labs apuntan a una campaña meticulosamente organizada y muy selectiva.
Durante la investigación de Kaspersky Labs se descubrió una intrincada red de conexiones entre las entidades que distribuían las aplicaciones infectadas. En particular, una ventana sospechosa "Acerca de" en el Notepad- modificado estaba vinculada a otro sitio clonado, entrelazando aún más las narrativas de las variantes maliciosas VNote y Notepad-.
Esta interconexión sugiere un esfuerzo amplio y coordinado para desplegar una fase de infección secundaria a través de aplicaciones manipuladas. Protegerse contra los anuncios maliciosos es crucial para salvaguardar la seguridad en línea.
Defensa contra ciberataques mediante instaladores falsos
Para evitar estas amenazas de ciberseguridad en las descargas de softwarese recomienda a los usuarios que sigan las mejores prácticas de ciberseguridad:
- Cíñase a fuentes fiables: obtenga siempre el software de sitios web oficiales o repositorios de confianza para minimizar el riesgo de encontrar versiones contaminadas.
- La vigilancia es clave: manténgase alerta y esté atento a incoherencias como errores tipográficos, URL inusuales e irregularidades en los sitios de descarga.
- Mantenga actualizado el software de seguridad: actualice periódicamente el antivirus y el cortafuegos para detectar y frustrar eficazmente posibles programas maliciosos en las descargas de software.
Continuación de la investigación: Manténgase informado
A medida que los investigadores de Kaspersky Labs sigan profundizando en este ciberataque, se ofrecerán actualizaciones y orientaciones continuas para ayudar a los usuarios a protegerse a sí mismos y a sus datos. Los riesgos de ciberseguridad de los usuarios chinos están aumentando debido a sofisticados ciberataques. Manteniéndose vigilantes e informados, los particulares pueden mitigar los riesgos que plantean estas sofisticadas ciberamenazas.
Conclusión
En conclusión, la aparición de ciberataques selectivos subraya la importancia de mantener medidas de ciberseguridad sólidas en un panorama de seguridad de Internet en constante evolución. panorama chino de la seguridad en Internet. La adopción de prácticas de seguridad proactivas y manteniéndose informados sobre la evolución de las amenazas, los usuarios pueden protegerse eficazmente contra los actores maliciosos que tratan de explotar el instalador de Notepad++ y Vnote. las vulnerabilidades del instalador de Notepad++ y Vnote para fines nefastos.
Las fuentes de este artículo incluyen artículos en The Hacker News y SecurityOnline.