Hace falta remontarse a principios de este año para encontrar el origen del malware Proton. Hace unos días, expertos en seguridad han detectado que un blog falso de la empresa de seguridad Symantec está distribuyendo este virus informático. Para todo aquel que no se acuerde, afecta a equipos que posean el sistema operativo de la empresa de Cupertino.

Esta nueva distribución que se está realizando comenzó el pasado día 20. En astucia no se les gana a los ciberdelincuentes, recurriendo a cualquier práctica. Para ellos, se han valido de un blog falso. En esta ocasión, han utilizado la imagen de la compañía de seguridad Symantec. Obviamente, se aprovechan del poco conocimiento que poseen los usuarios sobre este tipo de prácticas. Aunque parezca poco usual, sí, la amenaza distribuida en esta ocasión afecta a los usuarios con sistema operativo macOS.

Hay que decir que la cuota es cada vez mayor, y muchos usuarios continúan creyendo que su sistema operativo es muy seguro y que ninguna amenaza podrá infectarlo. Al final, la confianza es el peor aliado de estos usuarios, posicionándolos como vulnerables.

La finalidad de este ataque es distribuir el malware Proton como una herramienta de seguridad, que, obviamente, no existe.

Symantec Malware Detector, el nombre falso utilizado por los ciberdelincuentes

Para llamar la atención del usuario, el grupo de ciberdelincuentes habla de otra amenaza. Para ser más precisos, mencionan a CoinThief en varias ocasiones y dan consejos sobre cómo evitar una posible infección en nuestro equipo. Obviamente, para que esto no suceda, debemos realizar la descarga de la aplicación falsa.  El nombre utilizado es Symantec Malware Detector, una aplicación que está muy lejos de proteger el equipo.

Su principal tarea es distribuirse a otros equipos y realizar el robo de la información almacenada.

Expertos en seguridad indican que la apariencia del blog es idéntica al legítimo, utilizando el mismo contenido que el original. Por este motivo, resulta tan complicado encontrar diferencias.

¿Cómo dan a conocer el sitio web falso?

Para dar a conocer esta página web, los ciberdelincuentes han creado perfiles falsos en las redes sociales. Detectar un perfil falso en estos servicios no es una tarea sencilla. Por este motivo, muchos usuarios caen en el engaño, sobre todo si observan que se trata de un perfil seguido por un número importante de usuarios.

En lo que se refiere a la funcionalidad de la amenaza Proton, ofrece a los ciberdelincuentes diferentes vías para hacerse con la información de los dispositivos infectados. La más básica es un keylogger. Sin embargo, también pueden recurrir a una consola remota vía SSH, a un servicio FTP para la transferencia de archivos o sesiones VNC para controlar el equipo y visualizar qué es lo que está sucediendo. Todo esto se ejecuta en procesos que se encuentran en segundo plano, para evitar que el usuario se percate de qué es lo que está sucediendo.

Añadir que, por el momento, el sitio web original ha sido cerrado tras la denuncia realizada por Symantec. Teniendo en cuenta las fechas en las que nos encontramos, no es disparatado pensar que pueden aparecer más páginas web falsas, que utilicen la imagen de esta u otras compañías.