La banda de ciberdelincuentes conocida como Black Cat ha sido vinculada a una campaña de envenenamiento de optimización de motores de búsqueda (SEO) que utiliza sitios web fraudulentos. Estos sitios promocionan software popular con el objetivo de engañar a los usuarios y lograr que descarguen una puerta trasera que roba datos confidenciales.
De acuerdo con un
informe del CERT de China (CNCERT/CC) y de Beijing Weibu Online (también conocido como
ThreatBook), esta actividad se centra en posicionar sitios web falsos en los primeros resultados de motores de búsqueda como Microsoft Bing. Los objetivos son usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
«Al visitar estas páginas de phishing de alto rango, los usuarios son dirigidos a páginas de descarga diseñadas para intentar instalar software que contiene programas maliciosos», afirmaron CNCERT/CC y ThreatBook. «Una vez instalado, el programa introduce un troyano de puerta trasera sin que el usuario lo note, permitiendo el robo de información sensible del dispositivo afectado».
En la reciente serie de ataques, los usuarios que buscan Notepad++ son redirigidos a sitios de phishing como:
«cn-notepadplusplus[.]com», «cn-obsidian[.]com»,
«cn-winscp[.]com» y «notepadplusplus[.]cn», así como «http://www.notepadplus[.]com.cn», entre otros.
La presencia de «cn» en los nombres de dominio indica que los atacantes se enfocan en usuarios chinos que podrían estar buscando estas herramientas en motores de búsqueda.
Si un usuario incauto hace clic en el botón de descarga del sitio fraudulento, es redirigido a otra URL que simula ser GitHub
(«github.zh-cns[.]top»), desde donde puede descargar un archivo ZIP. Dentro de este archivo, hay un instalador que crea un acceso directo en el escritorio, que a su vez sirve como entrada para instalar una DLL maliciosa que activa la puerta trasera.
El malware se conecta a un servidor remoto
(«sbido[.]com:2869»), permitiendo el robo de datos del navegador, registrar pulsaciones de teclas, extraer contenido del portapapeles y más información valiosa del sistema afectado.
Se estima que Black Cat ha estado activo desde al menos 2022, llevando a cabo múltiples ataques enfocados en el robo de datos y el control remoto mediante malware distribuido por campañas de envenenamiento SEO. En 2023, se reporta que el grupo robó al menos 160,000 dólares en criptomonedas haciéndose pasar por AICoin, una popular plataforma de intercambio de monedas virtuales.
CNCERT/CC y ThreatBook informaron que Black Cat ha comprometido alrededor de 277,800 dispositivos en China entre el 7 y el 20 de enero de 2025, alcanzando un máximo diario de 62,167 máquinas comprometidas.
Para reducir el riesgo, se aconseja a los usuarios evitar hacer clic en enlaces de fuentes desconocidas y limitar las descargas a sitios de confianza.
Fuente:
THN
Con Información de blog.segu-info.com.ar