Sitios falsos disfrazados de software conocido aparecen primero en Google y roban información
Campaña activa posiciona sitios falsos de software en los primeros resultados de Google. Al descargar el programa, el equipo entrega contraseñas, sesiones activas y accesos corporativos al atacante. La puerta de entrada ya no es un correo sospechoso: es una búsqueda cotidiana
Qué ocurrió
Investigadores detectaron una campaña de gran escala que crea sitios diseñados para imitar con exactitud proyectos reales de software gratuito y los posiciona en los primeros resultados de Google. Al descargar el programa, el equipo instala un código malicioso que roba contraseñas guardadas en el navegador, sesiones activas de correo y plataformas en la nube, y credenciales de acceso a sistemas corporativos.
Quién está expuesto
Para personas
Usuarios que buscan herramientas de software en Google y descargan desde resultados sin verificar que el dominio corresponda al sitio oficial del fabricante.
Para organizaciones
Equipos de desarrollo, TI o administración que instalan herramientas siguiendo resultados de búsqueda. Un equipo infectado puede comprometer el acceso de toda la organización a sus plataformas corporativas.
A considerar
- Validar si existe una política que obligue a descargar software solo desde el sitio oficial del fabricante.
- Si alguien instaló recientemente una herramienta siguiendo un resultado de Google(sin verificar el dominio) revisar ese equipo en busca de actividad inusual.
- Buscar actividad anómala en sesiones de correo corporativo o servicios en la nube.
Impacto potencial
Un equipo infectado puede exponer contraseñas del navegador, sesiones activas de correo corporativo, accesos a servicios en la nube, y credenciales de sistemas internos. Con esa información, el atacante puede ingresar a múltiples sistemas sin contraseña: basta con la sesión robada. La puerta de entrada no fue un correo sospechoso — fue una búsqueda en Google.
Leer fuente original →