Herramientas de IA falsas y técnicas de SEO: 8500 pequeñas y medianas empresas han sido víctimas de una campaña creciente de distribución de software malicioso

Los expertos en ciberseguridad han descubierto una campaña a gran escala que utiliza SEO envenenado y sitios web falsos con software para engañar a los usuarios y que descarguen software malicioso, camuflado como herramientas populares de inteligencia artificial y mejora del rendimiento.

Software malicioso distribuido a través de falsificaciones

Según Arctic Wolf, los atacantes promocionan versiones troyanizadas de software legítimo, como PuTTY y WinSCP, a través de sitios web falsos, como puttyy[.]org y updaterputty[.]com. Una vez descargadas, estas herramientas instalan una puerta trasera conocida como Oyster (también llamada Broomstick), que se mantiene estable mediante tareas programadas y archivos DLL maliciosos.

Otra parte de la campaña utiliza búsquedas relacionadas con la inteligencia artificial para atraer a los usuarios a páginas de phishing. Estos sitios proporcionan archivos ZIP protegidos con contraseña que contienen instaladores grandes y, a primera vista, legítimos. Una vez ejecutados, instalan software malicioso para robar datos, como Vidar y Lumma, utilizando AutoIt o scripts por lotes para evitar ser detectados.

Robo de solicitudes de asistencia técnica

Los atacantes también roban solicitudes de asistencia técnica para marcas como Apple y Netflix. Mediante la introducción de parámetros de búsqueda, los estafadores modifican las páginas oficiales de asistencia de las marcas para mostrar números de teléfono falsos, engañando a los usuarios para que llamen directamente a los atacantes.

MacOS también es un objetivo

Se ha detectado software malicioso dirigido a sistemas macOS mediante tácticas similares. Los investigadores identificaron Poseidon Stealer y PayDay Loader, este último utiliza eventos de Google Calendar y JavaScript confuso para desplegar cargas útiles, como Lumma Stealer en Windows y módulos Node.js, para extraer carteras de criptomonedas.

8500 usuarios de pequeñas y medianas empresas engañados en solo cuatro meses

Kaspersky informa de que, entre enero y abril de 2025, más de 8500 usuarios de pequeñas y medianas empresas fueron víctimas de ataques. El software malicioso, camuflado como herramientas de Zoom, Outlook, ChatGPT y Microsoft Office, se distribuyó ampliamente. Los archivos relacionados con Zoom representaron el 41 % de las variantes maliciosas, y el número de falsificaciones de ChatGPT aumentó un 115 %.

Protéjase: utilice solo fuentes oficiales

Los investigadores en materia de seguridad instan a los usuarios a descargar herramientas solo de los sitios web oficiales de los proveedores y a evitar hacer clic en anuncios patrocinados en los resultados de búsqueda, especialmente cuando se busca software de inteligencia artificial o de colaboración.