A una banda de ciberdelincuentes llamada Black Cat se le atribuye una campaña de envenenamiento de optimización de motores de búsqueda (SEO) en la que sitios web fraudulentos que promocionan software popular engañan a los usuarios para que descarguen una puerta trasera que puede usarse para robar datos confidenciales.
Según un informe publicado por el Equipo Técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT/CC) y Beijing Weibu Online (también conocido como ThreatBook), la actividad apunta estratégicamente a impulsar sitios web falsos a la cima de los resultados de búsqueda en motores de búsqueda como Microsoft Bing, y se dirige particularmente a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
“Después de visitar estas páginas de phishing de alto nivel, los usuarios son atraídos por páginas de descarga cuidadosamente construidas que intentan descargar paquetes de instalación de software incluidos con malware”, dijeron CNCERT/CC y ThreatBook. “Una vez instalado, el programa implanta un troyano de puerta trasera sin el conocimiento del usuario, lo que da como resultado que los atacantes roben datos confidenciales de la computadora host”.
Se estima que Black Cat ha estado activo desde al menos 2022, orquestando una serie de robo de datos y ataques de control remoto utilizando malware distribuido a través de campañas de envenenamiento de SEO. En 2023, el grupo supuestamente robó al menos 160.000 dólares en criptomonedas haciéndose pasar por AICoin, una popular plataforma de comercio de divisas virtual.
En la última serie de ataques, a los usuarios que buscan Notepad++ se les presentan enlaces a un sitio de phishing convincente que afirma estar asociado con el programa de software (“cn-notepadplusplus(.)com”). Otros dominios registrados por Black Cat incluyen “cn-obsidian(.)com”, “cn-winscp(.)com” y “notepadplusplus(.)cn”.
La inclusión de “cn” en el nombre de dominio indica que los actores de la amenaza se dirigen específicamente a usuarios chinos que pueden estar buscando dichas herramientas a través de motores de búsqueda.
Si los usuarios desprevenidos hacen clic en el botón “Descargar” en el sitio web falso, serán redirigidos a otra URL que imita a GitHub (“github.zh-cns(.)top”), desde donde se puede descargar un archivo ZIP. En el archivo ZIP se incluye un instalador que crea un acceso directo en el escritorio del usuario. El acceso directo actúa como punto de entrada para descargar una DLL maliciosa, lo que a su vez abre la puerta trasera.
El malware se pone en contacto con un servidor remoto codificado (“sbido(.)com:2869”) y le permite robar datos de navegación web, registrar pulsaciones de teclas, extraer contenido del portapapeles y extraer otra información valiosa del host comprometido.
CNCERT/CC y ThreatBook descubrieron que el sindicato de delitos cibernéticos Black Cat comprometió aproximadamente 277.800 hosts en toda China entre el 7 y el 20 de febrero de 2025, con el mayor número diario de máquinas comprometidas en el país con 62.167.
Para mitigar el riesgo, se recomienda a los usuarios que no hagan clic en enlaces de fuentes desconocidas y se ciñan a fuentes confiables al descargar software.
About The Author
