Los sitios web del gobierno propagan virus bajo la apariencia de herramientas de piratería

Last updated Dic 3, 2022

Después de varios pasos en falso, se le pedirá al usuario que descargue un archivo malicioso o ingrese los detalles de la tarjeta para continuar.

Como parte de un ataque a gran escala, los piratas informáticos publican artículos en sitios web gubernamentales y universitarios con instrucciones sobre cómo piratear cuentas de redes sociales, lo que conduce a una infección de malware en la computadora.

El ataque salió a la luz por primera vez cuando la firma de inteligencia de seguridad Cyble compartió una captura de pantalla de UNESCO.org siendo pirateada para alojar un artículo sobre cómo piratear una cuenta de Instagram.

Al hacer clic en el enlace incrustado, accederá a un sitio web que dice ser una herramienta para hackear una cuenta de Instagram.

Si intenta usar esta herramienta, lo guiará a través de una serie de pasos "aparentes", como se muestra en el video a continuación, y eventualmente le pedirá que descargue un archivo para completar el truco. Sin embargo, hacer clic en el enlace de descarga lo redirige a un sitio que distribuye malware.

Parte de una campaña de piratería más grande

BleepingComputer investigó más a fondo y descubrió que muchos otros sitios web de universidades, gobiernos y organizaciones han sido pirateados para promover herramientas de piratería falsas para Netflix, WhatsApp, Facebook, Instagram, TikTok y Snapchat.

Ejemplo de búsqueda de TikTok Hack

Algunos de los sitios a los que se dirige esta campaña son propiedad de organizaciones gubernamentales de EE. UU. en San Diego, Colorado, Minnesota, así como sitios de la UNESCO, los Institutos Nacionales de Salud (nih.gov), el Instituto Nacional del Cáncer (Cancer.gov), Rutgers, Universidad. Washington, Universidad Estatal de Arizona, Instituto de Tecnología de Rochester, Universidad de Iowa, Universidad de Maryland y Universidad de Michigan,

Según los patrones observados por BleepingComputer, los atacantes aprovechan las vulnerabilidades del CMS para alojar sus propios artículos. Un método común era usar el componente Drupal Webform para cargar archivos PDF con enlaces a herramientas de piratería falsas.

Para empeorar las cosas, los atacantes han logrado hacer black hat SEO para que estas "herramientas de pirateo" se promocionen como el primer resultado de búsqueda en las búsquedas generales de palabras clave en Google.

Primer lugar en la búsqueda de Google

Al hacer clic en estos enlaces, los usuarios se redirigirán a páginas con herramientas de piratería falsas similares al sitio de Instagram que mostramos anteriormente.

Por ejemplo, el primer resultado de una búsqueda en Google de "hackear cuenta de tiktok" es un sitio que aloja una herramienta de pirateo de TikTok falsa, como se muestra a continuación.

Herramienta falsa de pirateo de TikTok

Todos los sitios probados se comportan de la misma manera; finge que pirateaste tu cuenta y luego afirma que fallaron y que necesitas descargar el programa para continuar.

Al hacer clic en estos enlaces, se le solicita información personal, información de la tarjeta de crédito o le pide que descargue un conjunto de paquetes de malware y adware.