Los estafadores han sido atrapados usando un ingenioso juego de manos para hacerse pasar por el sitio web del navegador Brave y usarlo en los anuncios de Google para impulsar el malware que toma el control de los navegadores y roba datos confidenciales.
El ataque funcionó registrando el dominio xn – brav-yva[.]com, una cadena codificada que usa lo que se conoce como punycode para representar valiente[.]com, un nombre que cuando se muestra en las barras de direcciones de los navegadores es confusamente similar a brave.com, donde la gente descarga el navegador Brave. Valiente[.]com (tenga en cuenta el acento sobre la letra E) era casi una réplica perfecta de brave.com, con una excepción crucial: el botón “Descargar Brave” tomó un archivo que instalaba malware conocido como ArechClient y SectopRat.
De Google al malware en 10 segundos.
Para dirigir el tráfico al sitio falso, los estafadores compraron anuncios en Google que se mostraban cuando las personas buscaban cosas relacionadas con navegadores. Los anuncios parecían bastante benignos. Como muestran las imágenes a continuación, el dominio mostrado para un anuncio era mckelveytees.com, un sitio que vende ropa para profesionales.
Pero cuando las personas hicieron clic en uno de los anuncios, los dirigió a través de varios dominios intermediarios hasta que finalmente aterrizaron en bravė[.]com. Jonathan Sampson, un desarrollador web que trabaja en Brave, dijo que el archivo disponible para descargar era una imagen ISO de 303 MB de tamaño. Dentro había un solo ejecutable.
VirusTotal mostró inmediatamente un puñado de motores antimalware que detectaban ISO y EXE. En el momento en que se publicó esta publicación, el Imagen ISO tuvo ocho detecciones y el exe tenía 16.
El malware detectado tiene varios nombres, incluidos ArechClient y SectopRat. A Análisis 2019 de la empresa de seguridad G Data descubrió que se trataba de un troyano de acceso remoto capaz de transmitir el escritorio actual de un usuario o crear un segundo escritorio invisible que los atacantes podrían usar para navegar por Internet.
en un análisis de seguimiento publicado en febrero, G Data dijo que el malware se había actualizado para agregar nuevas características y capacidades, incluidas las comunicaciones cifradas con servidores de control y comando controlados por el atacante. A análisis separado
Como se muestra en esta búsqueda de DNS pasiva de DNSDB Scout, la dirección IP que alojaba el sitio falso de Brave ha estado alojando otros dominios de punycode sospechosos, incluidos xn--ldgr-xvaj.com, xn--sgnal-m3a.com, xn-- teleram-ncb.com y xn--brav-8va.com. Estos se traducen en lędgėr.com, sīgnal.com teleģram.com y bravę.com, respectivamente. Todos los dominios se registraron a través de NameCheap.
Un viejo ataque que todavía está en su mejor momento
Martijn Grooten, jefe de investigación de inteligencia de amenazas en la firma de seguridad Silent Push, se preguntó si el atacante detrás de esta estafa había estado alojando otros sitios similares en otras IP. Usando un producto Silent Push, buscó otros dominios de código puny registrados a través de NameCheap y usando el mismo servidor web. Acertó en siete sitios adicionales que también eran sospechosos.
El resultados, incluido el código puny y el dominio traducido, son:
- xn – screncast-ehb.com — screēncast.com
- xn – flghtsimulator-mdc.com — flīghtsimulator.com.
- xn – brav-eva.com — bravē.com
- xn – xodus-hza.com — ēxodus.com
- xn – tradingvew-8sb.com — tradingvīew.com
- xn--torbrwser-zxb.com—torbrwser.com
- xn – tlegram-w7a.com — tēlegram.com
Google eliminó los anuncios maliciosos una vez que Brave los llamó la atención de la compañía. NameCheap eliminó los dominios maliciosos después de recibir una notificación.
Una de las cosas más diabólicas de estos ataques es lo difíciles que son de detectar. Debido a que el atacante tiene control total sobre el dominio de punycode, el sitio del impostor tendrá un certificado TLS válido. Cuando ese dominio aloja una réplica exacta del sitio web falsificado, incluso las personas conscientes de la seguridad pueden ser engañadas.
Lamentablemente, no hay formas claras de evitar estas amenazas que no sea tomando unos segundos adicionales para inspeccionar la URL tal como aparece en la barra de direcciones. Los ataques que utilizan dominios basados en punycode no son nada nuevo. La suplantación de Brave.com de esta semana sugiere que no van a dejar de estar de moda en el corto plazo.