La piratería afecta a todo tipo de plataformas en la actualidad. Sin embargo, hay hackers que van un paso más allá, e intentan emular al máximo este tipo de plataformas con el fin de convencer a los usuarios para que instalen malware en su ordenador. Ahora, una plataforma está haciéndose pasar un por uno de estos servicios.
Así lo está alertando la empresa de ciberseguridad Proofpoint. La compañía observó por primera vez la aparición de la campaña en mayo de este año, haciéndose pasar por una web de streaming con una web bien diseñada y con películas falsas.
En lugar de ofrecer películas, la web distribuye el BazaLoader, que, aunque pueda parecer inerte al principio, en realidad tiene capacidad para descargar e instalar módulos adicionales en el ordenador de la víctima. Por ello, muchos atacantes están usándolo para descargar módulos con ransomware tan peligrosos como Ryuk y Conti.
BravoMovies: una web de pelis falsa
La principal vía de distribución de BazaLoader es a través de BravoMovies. Las potenciales víctimas reciben un correo en el que se les dice que su periodo de prueba gratis va a acabar dentro de poco, y que se les cobrarán 39,90 dólares al mes si no cancelan la suscripción a BravoMovies.
Esa plataforma de streaming en realidad no existe, y el email busca asustar a los usuarios para que llamen a un número de teléfono. En ese número se guía a los usuarios por la web, que parece real, con portadas de películas, un FAQ, detalle de precios, y la supuesta prueba gratuita.
Cuando el usuario entra en sección para cancelar la suscripción, se les pide que descarguen una hoja de cálculo de Excel. Al abrirlo, el documento les pide que «activen el contenido», y a partir de ahí se empiezan a ejecutar macros que descargan el BazaLoader.
Fallos gramaticales o webs falsas: revisa los emails
Los atacantes saben claramente que muchos usuarios se han suscrito a plataformas de streaming durante la pandemia, y en algunos casos pueden haberse olvidado de alguna de esas plataformas. Por ello, buscan asustar a los usuarios para que acudan rápidamente a la web falsa y que cancelen la suscripción.
Como siempre ocurre con este tipo de ataques, es importante conocer el tipo de coreo que nos llega, y si realmente nos hemos suscrito a este servicio. Una simple búsqueda en Google nos muestra que la web no existe. Revisar el email en busca de lenguaje extraño es también un signo importante de que se trata de un email falso. Por ejemplo, el «We lucky you’ve loved it» está claramente mal escrito, donde muchos de estos hackers no tienen el inglés como primer idioma, y cometen numerosas faltas ortográficas y gramaticales. También es importante saber cómo protegerse ante un ransomware.
Los atacantes usaban varios dominios, como urbancinema.net, bravomovies.net y bvcinema.net. Ninguno de ellos funciona ya.