Con el paso del tiempo los usuarios se están haciendo más listos a la hora de detectar una amenaza de seguridad en un email o en un SMS, pero los hackers dedicados «al mal» siguen encontrando formas de engañar para obtener la instalación del malware, y personalizarlo es una idea que está cada vez más difundida.
En los últimos meses hemos visto varios casos de anuncios en línea de versiones falsas de programas populares para que los usuarios se la bajen pensando que es el programa real, así como extensiones de Chrome. Lo que realmente se instala puede robar lo que escribimos en el teclado, incluyendo nombres de usuario y contraseñas, o abrir puertas para dar acceso remoto a nuestros ordenadores.
Ha sido la empresa de ciberseguridad de Cisco Talos la que ha dado nombre a esta campaña: «magnat», basada en ofrecer anuncios con instaladores falsos de software como Viber y WeChat, así como de juegos como Battlefield.
Entre las amenazas instaladas por los usuarios que hacen click en estos anuncios maliciosos tenemos un ladrón de contraseñas, una puerta trasera y una extensión de navegador maliciosa, que permite el registro de teclas y la toma de capturas de pantalla.
Una de las amenazas más graves es la MagnatBackdoor, que configura un ordenador con Windows para permitir el acceso sigiloso a la máquina. Añade un usuario nuevo y hace ping a los servidores maliciosos cada x tiempo. Cuando no hay un usuario dentro, el atacante se hace con el control del ordenador.
Realizar capturas de pantalla, robar cookies, robar información que ponemos en formularios, capturar lo que tecleamos… toda esa información se envía de vuelta a los atacantes, dejándonos completamente expuestos.
Por lo visto los anuncios aparecen con palabras clave relacionadas con el software, por lo que si veis anuncios que se salen de los patrones habituales, o que no tienen el triangulito superior derecho diciendo que vienen de la red de Google o alguna otra marca que certifique un origen de confianza, no lo pulséis.