Black Hat SEO simula sitios de Chrome y Notepad++ para descargar malware

La banda de ciberdelincuentes Black Cat ha sido atribuida a una campaña de envenenamiento de optimización de motores de búsqueda (SEO) que emplea sitios fraudulentos que anuncian software popular para engañar a los usuarios y que descarguen una puerta trasera capaz de robar datos confidenciales.

Según un informe publicado por el CERT de China (CNCERT/CC) y Beijing Weibu Online (también conocido como ThreatBook), la actividad está diseñada para posicionar estratégicamente sitios web falsos en los primeros resultados de búsqueda en motores de búsqueda como Microsoft Bing, específicamente dirigidos a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.

"Tras visitar estas páginas de phishing de alto rango, los usuarios son atraídos por páginas de descarga cuidadosamente diseñadas que intentan descargar paquetes de instalación de software que contienen programas maliciosos", declararon CNCERT/CC y ThreatBook. "Una vez instalado, el programa implanta un troyano de puerta trasera sin el conocimiento del usuario, lo que provoca el robo de datos confidenciales del equipo host por parte de los atacantes".

En la última serie de ataques, los usuarios que buscan Notepad++ reciben enlaces a un sitio web de phishing convincente: "cn-notepadplusplus[.]com", "cn-obsidian[.]com", "cn-winscp[.]com" y "notepadplusplus[.]cn", "http://www.notepadplus[.]com.cn", etc.

La inclusión de "cn" en los nombres de dominio indica que los actores de amenazas se dirigen específicamente a usuarios chinos que podrían estar buscando dichas herramientas a través de motores de búsqueda.

Si un usuario desprevenido hace clic en el botón de descarga del sitio web falso, se le redirige a otra URL que imita a GitHub ("github.zh-cns[.]top"), desde donde se puede descargar un archivo ZIP. Dentro del archivo ZIP hay un instalador que crea un acceso directo en el escritorio del usuario. Este acceso directo actúa como punto de entrada para la instalación de una DLL maliciosa que, a su vez, activa la puerta trasera.

El malware establece contacto con un servidor remoto ("sbido[.]com:2869" - VT), lo que le permite robar datos del navegador web, registrar pulsaciones de teclas, extraer el contenido del portapapeles y otra información valiosa del host comprometido.

Se estima que Black Cat lleva activo al menos desde 2022, orquestando una serie de ataques diseñados para el robo de datos y el control remoto mediante malware distribuido mediante campañas de envenenamiento SEO. En 2023, se dice que el grupo robó al menos 160.000 dólares en criptomonedas haciéndose pasar por AICoin, una popular plataforma de intercambio de divisas virtuales.

CNCERT/CC y ThreatBook señalaron que el grupo de ciberdelincuentes Black Cat ha comprometido alrededor de 277.800 hosts en China entre el 7 y el 20 de 2025, con el mayor número diario de máquinas comprometidas en el país, alcanzando un máximo de 62.167.

Para mitigar el riesgo, se recomienda a los usuarios abstenerse de hacer clic en enlaces de fuentes desconocidas y limitarse a fuentes confiables para descargar software.

Fuente: THN

Suscríbete a nuestro Boletín