El ataque ha sido descubierto por la empresa de ciberseguridad ESET, que ha alertado en su cuenta de Twitter de esta nueva campaña. El método que tienen estas webs para propagarse es utilizar anuncios falsos que promocionan lo que parecen ser aplicaciones legítimas.

Anuncios falsos de Microsoft o Spotify: descargan malware

Sin embargo, cuando los usuarios le dan al anuncio, en realidad van a una web falsa que se hace pasar por la Microsoft Store con un falso juego de ajedrez llamado xChess 3. Si le damos a descargar, el archivo que se baja es xChess_v.709.zip, que en realidad es un malware de robo de información llamado Ficker, o FickerStealer.

En otros anuncios, los atacantes se hacen pasar por Spotify con un anuncio falso de 90 días gratis, una promoción que recurrentemente suele lanzar la plataforma. Al visitarla, la página descarga también el malware correspondiente.

En cualquiera de los casos, si abrimos el archivo, se ejecutará el malware que empezará a robar los datos almacenados en el ordenador, incluyendo contraseñas en navegadores web, programas del ordenador como Steam o apps de chat de voz como Discord, o clientes FTP. Además, también puede robar criptomonedas de hasta 15 monederos diferentes, así como robar documentos o tomar capturas de pantalla de las aplicaciones activas en ese momento en el ordenador. Con ello, pueden tomar el control de tus cuentas, pudiendo cancelar la cuenta de Spotify.

El malware tiene Rusia como origen

Este malware, que es un troyano, apareció por primera vez en foros rusos en enero, donde su supuesto creador empezó a alquilarlo a otros hackers para que lo usasen en periodos de entre una semana y seis meses. Una vez que un atacante ha conseguido toda la información que quiere, se genera un archivo zip que se envía a un servidor controlado por el atacante.