ThreatLabZ, el equipo de investigación de Zscaler, Inc. (NASDAQ: ZS), empresa líder de seguridad en la nube, ha descubierto un actor de amenazas que se dedicaba a crear páginas web fraudulentas de reconocidas empresas de reuniones online como Skype, Google Meet y Zoom para difundir diversas familias de malware.

En este sentido, el actor de amenazas propaga troyanos de acceso remoto (RAT), incluido SpyNote RAT, en plataformas de Android, así como NjRAT y DCRat en Windows. Se trata de una campaña maliciosa que suplanta aplicaciones móviles legítimas. “A medida que las ciberamenazas continúan evolucionando y volviéndose cada vez más complejas, es fundamental permanecer alerta y tomar medidas proactivas para protegerse contra ellas”, explican desde el equipo de ThreatLabZ. Por este motivo, los expertos muestran cómo se pueden identificar las URL y archivos maliciosos de este tipo de malware:

  1. Skype

El atacante utilizó un alojamiento web compartido en una única dirección IP. Durante la investigación, ThreatLabZ, identificó que el primer sitio web falso, join-skype[.]info, se había creado a principios de diciembre para que los usuarios se descargaran una aplicación de Skype falsa. El botón de Windows apuntaba a un archivo llamado Skype8.exe y el de Google Play a Skype.apk (ninguno de estos archivos estaba disponibles en el momento del análisis). Asimismo, observaron que el actor de la amenaza no tenía como objetivo a los usuarios de iOS.

A finales del mismo mes, los ciberdelincuentes crearon otro sitio falso, online-cloudmeeting[.]pro, imitando a Google Meet. Esta web fraudulenta se creó deliberadamente para parecerse a un enlace de entrada a la aplicación. Los códigos de invitación originales de Google Meet suelen seguir la estructura: [az]{3}-[az]{4}-[az]{3}.

Además, según los expertos, esta estafa se puede apreciar también por el falso dominio en la barra de direcciones de una aplicación falsa de Google Meet para Windows que enlaza con un archivo BAT malicioso que descarga y ejecuta malware.

  1. Zoom

Por último, a finales de enero, ThreatLabZ detectó la un Zoom falso, us06webzoomus[.]pro, con un enlace que se parece mucho a una ID de reunión generada por el cliente Zoom. Si un usuario accede al enlace de Google Play, se descargará un archivo llamado Zoom02.apk que contiene SpyNote RAT, descargando un archivo BAT y, a su vez, una carga útil DCRat.

Al igual que en los casos anteriores, la página falsa de Zoom, muestra un dominio similar al auténtico en la barra de direcciones y un enlace al archivo APK malicioso que contiene SpyNote

“Nuestra investigación demuestra que las empresas pueden estar sujetas a amenazas de suplantación, como ha sucedido en este caso con las aplicaciones de reuniones telemáticas. En este ejemplo, un actor de amenazas está utilizando estos señuelos para distribuir RAT en Android y Windows, que pueden robar información confidencial, registrar pulsaciones de teclas y robar archivos. Estos hallazgos resaltan la necesidad de medidas de seguridad sólidas para proteger contra amenazas de malware avanzadas y en evolución, así como la importancia de actualizaciones y parches de seguridad periódicos”, concluyen los investigadores.