(https://i.postimg.cc/6Q1SXPjp/malware.gif) (https://postimages.org/)
Nueva campaña de envenenamiento SEO al descubierto. FortiGuard Labs revela cómo los atacantes engañan a los usuarios con sitios web falsos para distribuir malware Hiddengh0st y Winos.
Una nueva campaña de ciberataques se aprovecha de los usuarios de Windows de habla china mediante la manipulación de los resultados de los motores de búsqueda. La división de investigación de Fortinet, FortiGuard Labs, acaba de publicar su último blog de investigación, que revela cómo los atacantes utilizaron una técnica llamada envenenamiento SEO (manipulación de sitios web maliciosos para que aparezcan en la parte superior de los resultados de los motores de búsqueda) para engañar a los usuarios y que descarguen software dañino.
Según la publicación del blog de FortiGuard Lab, la campaña se descubrió en agosto de 2025. En ella, los atacantes crearon sitios web fraudulentos que parecían casi idénticos a los proveedores de software legítimos y utilizaron complementos especiales para impulsar artificialmente estos sitios falsos a los primeros puestos de los resultados de búsqueda.
Un visitante, creyendo estar en un sitio confiable, descargaba lo que parecía ser una aplicación real. Sin embargo, "los instaladores contenían tanto la aplicación legítima como la carga maliciosa, lo que dificultaba que los usuarios detectaran la infección", señalaron los investigadores.
(https://hackread.com/wp-content/uploads/2025/09/Chinese-Speaking-Windows-Users-Targeted-in-New-SEO-Poisoning-1536x847.png)
El sitio falsificado aparece en la parte superior de los resultados de búsqueda y sitios web falsos
Una vez que un usuario ejecutaba el instalador, el malware lanzaba un archivo que realizaba una serie de comprobaciones. Estaba diseñado para ser sigiloso y buscaba indicios de que se estaba ejecutando en un entorno de investigación o sandbox, en lugar de en el ordenador de una persona real. Si detectaba que se estaba ejecutando en un laboratorio, simplemente dejaba de ejecutarse inmediatamente para evitar ser descubierto. Este detalle es crucial para comprender los métodos de los atacantes.
Estos instaladores falsos fueron diseñados para instalar en secreto dos tipos de malware: Hiddengh0st y Winos. Hiddengh0st es una herramienta que permite a un atacante controlar un ordenador de forma remota, mientras que Winos es conocido por robar información valiosa. Estos datos robados pueden utilizarse para futuros ciberataques. La gravedad de esta campaña se clasifica como alta debido al posible impacto en las víctimas.
(https://hackread.com/wp-content/uploads/2025/09/Chinese-Speaking-Windows-Users-Targeted-in-New-SEO-Poisoning-Campaign-3.png)
Flujo del Ataque
El uso de dominios similares y la sustitución de caracteres pequeños (por ejemplo, la letra "o" por el número "0") por parte de los atacantes fue clave para su engaño. Para garantizar su permanencia en el ordenador, el malware modificaba los archivos del sistema y creaba nuevos que se ejecutaban automáticamente cada vez que se encendía. Un ejemplo anterior de sitios web falsos en un ataque de este tipo es Google.com, no ɢoogle.com.
La investigación reveló además que el malware podía robar una amplia gama de información personal, incluyendo datos de monederos de criptomonedas como los de Tether y Ethereum. También se observó su capacidad para registrar las pulsaciones de teclas y capturar lo que se copiaba al portapapeles. Los atacantes podían entonces ejecutar comandos de forma remota, lo que les permitía controlar completamente el ordenador infectado.
FortiGuard Labs compartió esta investigación, destacando la rápida evolución de las amenazas en el mundo digital. Siempre es recomendable tener cuidado en línea e inspeccionar cuidadosamente el nombre de dominio antes de descargar cualquier software.
Fuente:
HackRead
https://hackread.com/seo-poisoning-attack-windows-hiddengh0st-winos-malware/