Te contamos todo esto debido a que una nueva campaña de distribución de malware que utiliza falsos errores en Chrome para engañar a los usuarios. Todo ello con el fin de hacerles ejecutar correcciones malintencionadas de PowerShell que instalan el correspondiente malware. De hecho, esta se está extendiendo y la utilizan muchos atacantes con el mismo fin que os comentamos. Estos nuevos ataques utilizan el componente JavaScript en archivos HTML adjuntos y sitios web comprometidos. Básicamente, se encargan de mostrar errores falsos de Google Chrome mientras nos movemos por Internet.
Para que os hagáis una idea más aproximada, estos errores incitan al visitante a hacer clic en un botón para copiar una solución de PowerShell para dicho fallo. Este se almacena en el portapapeles del sistema para a continuación ejecutarse en un cuadro de diálogo Ejecutar o en una ventana de PowerShell. Eso sí, llegados a este punto es importante saber que los ataques requieren una interacción significativa por parte del usuario, de lo contrario no tendrán éxito.
Pero la ingeniería social es lo suficientemente inteligente como para engañarnos con lo que parece un problema real y una solución inminente. Esto puede incitar a un usuario a actuar sin tener en cuenta el riesgo que corre. Es entonces cuando a nuestro PC llega la supuesta solución de PowerShell, que incluye el temido malware.
-Así llega el virus a nuestro PC desde Chrome
Aunque se han localizado un total de tres cadenas de ataque, hay una que se podría considerar como más peligrosa y habitual. Para que podáis evitarla si os convertís en potenciales víctimas, os contaremos cómo funciona este ataque mientras utilizamos el navegador de Google.
Nos ponemos en el caso de que los usuarios de Chrome visitan un sitio web comprometido que carga un script malicioso. El mismo está alojado en la cadena de bloques a través de la cadena inteligente Binance. A continuación, el script como tal lleva a cabo algunas comprobaciones y muestra una falsa advertencia de error en Google Chrome.
Aquí se indica un problema de visualización de la página web en sí. En ese momento el cuadro de diálogo solicita al visitante que instale un certificado copiando un script de PowerShell en el portapapeles de Windows. En ese momento el script se ejecuta en una ventana de la propia herramienta de PowerShell con permisos de administrador.
Cuando se ejecuta el script PowerShell, realiza varios pasos para confirmar que el dispositivo es un objetivo válido para la infección. A partir de ese momento descarga las cargas útiles adicionales para infectar nuestro equipo. De hecho, los atacantes que usan esta campaña maliciosa, se aprovechan del desconocimiento de los usuarios a la hora de ejecutar comandos PowerShell. Y no solo eso, también se aprovechan de la incapacidad de Windows para detectar y bloquear estas acciones maliciosas en concreto. Todo ello significa que debemos andar ojo avizor ante los mensajes de este tipo que os hemos mostrado.