Investigadores de Proofpoint han identificado recientemente la actividad de dos nuevos actores de amenazas que utilizan la técnica ‘FakeUpdates’ para distribuir malware a través de falsas actualizaciones de software. Según el análisis publicado en su blog oficial, se ha detectado una nueva variante de malware diseñada específicamente para sistemas Mac, lo que evidencia la creciente diversificación de las tácticas de los ciberdelincuentes.
¿En qué consiste FakeUpdates? La técnica de ‘FakeUpdates’, también conocida como ‘SocGholish’, es un método ampliamente utilizado por actores maliciosos para distribuir malware. Suplantando actualizaciones legítimas de software, los atacantes engañan a las víctimas para que descarguen y ejecuten programas maliciosos que les permiten tomar el control de los dispositivos infectados.
Los dos grupos de amenazas identificados en el informe de Proofpoint han estado operando durante años y han perfeccionado sus métodos para distribuir malware de manera efectiva.
Dos actores de amenazas en acción
Según el informe de Proofpoint, los investigadores han identificado a dos grupos de ciberdelincuentes utilizando esta técnica:
- TA2541: Activo desde al menos 2017, este grupo ha centrado sus ataques en sectores críticos como aviación, aeroespacial, transporte, manufactura y defensa. Su estrategia consiste en enviar correos electrónicos de phishing con enlaces a archivos maliciosos alojados en servicios de almacenamiento en la nube. Cuando la víctima descarga y ejecuta estos archivos, se instala un troyano de acceso remoto (RAT) que permite a los atacantes tomar el control del sistema infectado.
- TA2722: Identificado desde 2019, este grupo opera en múltiples industrias y emplea un enfoque diferente. En lugar de enlaces maliciosos, los correos electrónicos de phishing contienen archivos adjuntos peligrosos, como documentos de Microsoft Office o archivos comprimidos con scripts maliciosos. Cuando se abren, estos archivos ejecutan código que descarga malware en el sistema de la víctima, lo que facilita el robo de datos y el acceso remoto no autorizado.
Nuevo malware para Mac: un objetivo en crecimiento
Uno de los hallazgos más preocupantes en el análisis de Proofpoint es la detección de un nuevo malware dirigido específicamente a sistemas Mac.
Este malware se propaga a través de sitios web comprometidos que muestran alertas emergentes falsas, instando a los usuarios a actualizar su software. Si la víctima cae en la trampa y descarga el archivo malicioso, el malware se instala y otorga a los atacantes acceso al sistema.
La creciente popularidad de los dispositivos Mac en entornos empresariales y gubernamentales ha convertido a estos equipos en un objetivo más atractivo para los ciberdelincuentes, lo que explica el aumento de las amenazas dirigidas a este sistema operativo.
Dado el aumento de ataques con esta técnica, Proofpoint recomienda adoptar medidas de seguridad para mitigar el riesgo de infección:
- Descargar actualizaciones solo desde fuentes oficiales: Las actualizaciones de software deben obtenerse exclusivamente desde los sitios web oficiales de los proveedores.
- No abrir enlaces ni archivos adjuntos sospechosos: Si un correo electrónico proviene de una fuente desconocida o solicita acciones urgentes, es mejor ignorarlo.
- Utilizar soluciones de seguridad actualizadas: Antivirus y herramientas de detección de amenazas avanzadas pueden bloquear intentos de infección por FakeUpdates.
- Capacitar a los usuarios: Las empresas deben formar a sus empleados para que aprendan a identificar intentos de phishing y otros métodos de engaño utilizados por ciberdelincuentes.
- El informe de Proofpoint destaca cómo los actores de amenazas siguen evolucionando para explotar nuevas oportunidades de ataque. Mantenerse informado y adoptar una postura de seguridad proactiva es clave para proteger los sistemas frente a estas campañas maliciosas.
Para más detalles sobre la investigación, puedes consultar el informe completo en el blog de Proofpoint.
