Las estafas de actualizaciones falsas del navegador ahora están apuntando a usuarios de Mac, Windows y Android, distribuyendo malware como FrigidStealer, Lumma Stealer y el troyano Marcher a través de sitios web comprometidos.
Los investigadores de ciberseguridad de Proofpoint han identificado dos nuevos grupos de ciberdelincuentes detrás de esta ola de estafas, cuyo objetivo es infectar a los usuarios con software malicioso. Estos grupos, denominados TA2726 y TA2727, utilizan sitios web infectados para engañar a los visitantes y hacer que descarguen el malware. Entre los nuevos hallazgos, se incluye FrigidStealer, un stealer específico para Mac, recientemente descubierto. Además, se ha identificado que la misma cadena de ataques distribuye el troyano bancario Marcher para Android, así como Lumma Stealer y DeerStealer para Windows.
En el caso de los usuarios de Android, al hacer clic en la actualización falsa, se descarga Marcher, un troyano bancario activo desde 2013, diseñado para robar credenciales de inicio de sesión de aplicaciones bancarias.
EL ATAQUE
La estafa se basa en inyecciones web, una técnica mediante la cual los atacantes insertan código malicioso en sitios web legítimos. Al visitar un sitio infectado, los usuarios se enfrentan a un mensaje falso de actualización del navegador que los incita a descargar e instalar una supuesta actualización. Sin embargo, en lugar de una actualización real, la descarga contiene malware diseñado para robar datos confidenciales o instalar cargas útiles aún más peligrosas. TA2726 opera como un proveedor de tráfico, ofreciendo servicios de redirección para otros actores maliciosos. Por su parte, TA2727, según un blog de Proofpoint, distribuye activamente malware por cuenta propia, utilizando con frecuencia la táctica de la «actualización falsa» para engañar a los usuarios.
