Una de las tácticas empleadas por los ciberdelincuentes para engañar a los usuarios, robando datos, contraseñas o tomando control de dispositivos, es la creación de sitios web fraudulentos. Recientemente, han suplantado la identidad de Proton VPN, uno de los servicios más conocidos. A continuación, te explicaremos en qué consiste esta amenaza y qué tipo de malware están distribuyendo, así como algunas recomendaciones de seguridad.
No solo están elaborando páginas falsas de Proton VPN, sino también versiones modificadas de juegos y herramientas útiles para potenciales víctimas. El malware involucrado es NWHStealer, el cual representa una amenaza para los sistemas operativos de Windows, afectando a un amplio número de usuarios. Esta problemática ha sido identificada por investigadores de seguridad de Malwarebytes, como se detalla en su publicación del 15 de abril.
Sitios fraudulentos de Proton VPN
El malware NWHStealer se utiliza para robar datos personales. En lugar de emplear técnicas tradicionales como el envío de correos maliciosos o ataques de phishing, los delincuentes infiltran este software malicioso en archivos que las víctimas buscan y descargan de manera voluntaria. Para ello, deben crear previamente un sitio que simule ser Proton VPN.
Además, están usando falsos videos en YouTube que invitan a los usuarios a descargar esos supuestos mods o modificaciones de juegos. El objetivo final es que la víctima descargue el archivo sin darse cuenta de que, en realidad, contiene malware y no es el programa legítimo de Proton VPN ni ninguna modificación de videojuego auténtica.
Proton VPN es un servicio muy popular. Muchos buscan una VPN gratuita para acceder a contenido geográficamente restringido o para mejorar su privacidad en redes Wi-Fi públicas. Sin embargo, es crucial descargar el programa desde fuentes oficiales y no desde enlaces que encuentren en Internet o sitios de terceros que, como hemos mencionado, pueden estar infectados con malware.
Los analistas de Malwarebytes han identificado y rastreado múltiples campañas activas que distribuyen NWHStealer. En sus análisis, encontraron que el malware puede ser cargado a través de auto inyección o inyectándose en procesos legítimos de Windows como RegAsm.
Según Gabriele Orini, de Malwarebytes, en su informe, una vez que el malware se instala en el dispositivo, es capaz de recopilar datos del navegador, contraseñas almacenadas y detalles de carteras de criptomonedas. Esto puede llevar al robo de dinero e información sensible. Tiene la capacidad de atacar navegadores muy utilizados, como Google Chrome, Brave, Opera, Firefox o Edge.
Archivos con nombres engañosos
Los atacantes crean archivos con nombres que parecen legítimos. La víctima, al descargarlos, puede creer que está instalando una aplicación oficial y segura, cuando en realidad se trata de software malicioso. Esto convierte a esta campaña en una amenaza muy peligrosa que puede afectar a un gran número de personas.
Para evitar inconvenientes, es fundamental mantener siempre el sentido común. Asegúrate de acceder únicamente a páginas oficiales y nunca descargar aplicaciones desde fuentes de terceros que puedan ser problemáticas. Verifica cuidadosamente la procedencia de cualquier contenido que descargues.
Además, es esencial que mantengas tus dispositivos bien protegidos. Verifica que estén actualizados, ya que esto es crucial para prevenir la explotación de vulnerabilidades que puedan poner en riesgo tu seguridad. También es recomendable contar con un buen antivirus que te ayude a detectar y eliminar amenazas.
En resumen, ten cuidado al descargar Proton VPN o modificaciones de juegos, ya que es imperativo que lo hagas siempre desde la web oficial. Están creando sitios falsos que suplantan la identidad de la marca para introducir el malware NWHStealer.
Preguntas frecuentes
¿Qué es el malware NWHStealer?
NWHStealer es un malware diseñado para robar información sensible del sistema infectado. Puede recopilar datos del navegador, contraseñas almacenadas y detalles de carteras de criptomonedas. Se inyecta en procesos legítimos de Windows para evitar ser detectado.
¿Qué navegadores son vulnerables a este malware?
Según el informe de Malwarebytes, NWHStealer puede atacar navegadores populares como Google Chrome, Brave, Opera, Firefox y Microsoft Edge, extrayendo datos almacenados y credenciales guardadas.
¿Cómo puedo distinguir la web oficial de Proton VPN de una falsa?
La web oficial de Proton VPN es protonvpn.com. Verifica siempre que la URL sea exactamente esa antes de descargar cualquier archivo. Las páginas falsas pueden tener dominios similares con pequeñas variaciones (errores tipográficos, dominios alternativos). También asegúrate de que la conexión sea HTTPS.
