El reciente cambio al trabajo remoto ha llevado a los usuarios a recurrir a los servicios VPN para mantenerse seguros y proteger su privacidad en línea, pero una nueva investigación de Trend Micro ha revelado que los ciberdelincuentes ahora distribuyen instaladores VPN falsos con puertas traseras. Los investigadores de la compañía descubrieron instaladores de VPN en línea distribuidos para Windscribe que también incluían puertas traseras que permitían a los ciberdelincuentes acceder y controlar computadoras de forma remota sin la necesidad de una autenticación adecuada. Cabe señalar que los instaladores encontrados por Trend Micro provienen de fuentes fraudulentas y no del centro de descargas oficial de Windscribe o de Google Play Store o App Store de Apple. Los ciberdelincuentes han utilizado esta misma técnica en el pasado para agrupar aplicaciones legítimas de videoconferencia con archivos maliciosos. Al usar una VPN, los usuarios pueden proteger la comunicación entre sus computadoras e Internet al cifrar la conexión, lo que protege los datos y evita los intentos de espionaje. Sin embargo, a medida que las empresas y los consumidores empezaron a utilizar los servicios de VPN mientras trabajaban desde casa, los ciberdelincuentes aprovecharon la oportunidad para utilizarlos para distribuir malware y otros archivos maliciosos.
Agrupar archivos maliciosos con instaladores de VPN
Los usuarios que son víctimas de esta última campaña probablemente obtengan su instalador de VPN de fuentes maliciosas y no saben que están descargando una aplicación incluida en lugar del instalador legítimo por sí mismo. Según un nuevo informe de Trend Micro, la aplicación incluida elimina tres componentes del sistema de un usuario: el instalador VPN legítimo, el archivo malicioso (llamado Iscm.exe) que contiene la puerta trasera y la aplicación que actúa como ejecutor del archivo malicioso (win.vbs). Durante la instalación, el archivo Iscm.exe actúa sigilosamente en segundo plano al descargar su carga útil desde un sitio web controlado por ciberdelincuentes. Luego, este sitio web redirige al usuario a otra página para descargar un archivo cifrado llamado Dracula.jpg. Este archivo oculto debe descifrarse antes de revelar la carga útil de la puerta trasera. La propia puerta trasera puede realizar una serie de comandos, como descargar, ejecutar y actualizar archivos, así como tomar capturas de pantalla de la pantalla del usuario. Además, recopila información sobre el sistema de un usuario, incluido si hay productos antivirus instalados, el nombre de la máquina, el sistema operativo y el nombre de usuario. Para evitar ser víctima de esta nueva campaña, Trend Micro recomienda que los usuarios solo descarguen aplicaciones y archivos de centros de descarga oficiales y tiendas de aplicaciones, examinen las URL para distinguir entre dominios falsificados. y dominios legítimos, no descargar aplicaciones y archivos de correos electrónicos enviados por fuentes de usuarios no confiables y no hacer clic en ningún enlace en correos electrónicos sospechosos.- Consulte también nuestra lista completa de los mejores servicios de VPN.