Se ha observado que un actor de amenazas desconocido aprovecha publicaciones pagadas o promocionadas en sitios web de noticias legítimos para generar expectación sobre su warez, según nuevos hallazgos de Check Point Research.

El actor de amenazas también tiene a su disposición una página de phishing de WordPress dedicada que actúa como centro central, junto con proyectos de GitHub y SourceForge promovidos por cuentas falsas, un canal de YouTube y un grupo de cuentas que participan en actividades coordinadas en VirusTotal con la intención de clasificar erróneamente archivos maliciosos como seguros.

«Para impulsar una ‘herramienta’ maliciosa, un único actor de amenazas tomó prestado el mismo manual que las marcas legítimas usan para generar expectación: recuentos inflados de descargas, reseñas coordinadas de cinco estrellas, videos tutoriales estilo influencer y promoción en plataformas en las que la gente confía instintivamente», Check Point dicho en un informe compartido con The Hacker News. «El resultado es una economía de reputación falsa que abarca todas las plataformas que una víctima curiosa podría consultar antes de hacer clic en ‘descargar’».

El objetivo final de la campaña es impulsar un secuestrador de portapapeles de criptomonedas oculto en los robots de francotirador Solana y Pump.fun y en los predictores de fallos de juegos, lo que sugiere que los objetivos son los poseedores de activos de criptomonedas y los jugadores en línea que buscan atajos y ganancias rápidas.

El cortapelos basado en Rust apunta a sistemas Windows y macOS, y monitorea continuamente el portapapeles en busca de contenido que coincida con un patrón de dirección de billetera de criptomonedas. Cuando se encuentra una coincidencia, el malware sustituye la dirección de la billetera por una dirección controlada por el atacante extraída de una lista codificada, enrutando efectivamente los activos digitales hacia ellos.

Lo destacable de la actividad es la uso de Ghost Networks para envenenar sistemas basados ​​en la reputación como VirusTotal, con el objetivo de reducir las sospechas y aumentar la confianza de las víctimas en los archivos maliciosos a través de una combinación de votos a favor y comentarios altamente positivos.

Este comportamiento también se extiende a GitHub, donde el actor de amenazas opera al menos seis cuentas de GitHub para realizar promoción cruzada y distribuir su malware. Estas señales potenciadas sintéticamente están diseñadas para adormecer a los usuarios con una falsa sensación de seguridad y confianza. Uno de esos repositorios tiene 146 estrellas y 62 bifurcaciones.

«En SourceForge, el contador de descargas alcanzó 44.485, con 37.460 sospechosos supuestamente originados en dispositivos Android, a pesar de que el desarrollador sólo ofrece versiones para Windows y macOS», explicó Check Point. «Una explicación plausible es el uso de una granja de Android para inflar artificialmente el recuento de descargas en SourceForge».

Además, las soluciones de software se promocionan a través de un canal de YouTube dedicado con más de 91.000 suscriptores. El canal se creó en julio de 2020 y los operadores afirmaron que es «estrictamente sólo para fines educativos». Los vídeos de estilo tutorial cuentan con narradores generados por IA y comentarios positivos para reforzar la ilusión de popularidad y confiabilidad.

Quizás el aspecto más inusual de la campaña es el uso por parte del actor de amenazas de un servicio de distribución de comunicados de prensa como Cable de prensa EIN para comercializar las supuestas capacidades de su herramienta. Desde entonces, el comunicado de prensa ha sido sindicado al otro lado de fuerzas armadas pareja sitios web de noticiasprincipalmente la red USA TODAY.

«Manipular el sentimiento y la reputación en plataformas colaborativas marca un cambio significativo en la forma en que los atacantes generan confianza», afirmó Check Point. «El mismo manual de reputación falsa y promoción agresiva entre plataformas puede distribuir fácilmente ladrones de información o ransomware a objetivos de mayor valor con el tiempo».