{"id":31687,"date":"2025-12-09T17:47:29","date_gmt":"2025-12-09T15:47:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31687"},"modified":"2025-12-09T17:47:29","modified_gmt":"2025-12-09T15:47:29","slug":"syncro-remote-admin-tool-on-ai-generated-fake-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/31687\/","title":{"rendered":"Ataques con Syncro y sitios web generados por IA"},"content":{"rendered":"

Hace poco detectamos una nueva campa\u00f1a maliciosa que emplea un enfoque bastante intrigante. El actor crea sus propias compilaciones firmadas de una herramienta de acceso remoto leg\u00edtima (RAT). Para distribuirlas, utiliza un servicio con tecnolog\u00eda de IA para generar p\u00e1ginas web maliciosas en masa que se hacen pasar por los sitios oficiales de varias aplicaciones.<\/p>\n

Sigue leyendo para descubrir c\u00f3mo funciona este ataque, por qu\u00e9 es particularmente peligroso para los usuarios y c\u00f3mo protegerte.<\/p>\n

C\u00f3mo funciona el ataque<\/h2>\n

Parece que el actor malicioso utiliza varias plataformas de lanzamiento para sus ataques. En primer lugar, est\u00e1 claro que cuenta con que un n\u00famero significativo de usuarios accedan a sus p\u00e1ginas falsas a trav\u00e9s de sencillas b\u00fasquedas en Google. Esto se debe a que los sitios falsos suelen tener direcciones que coinciden con lo que buscan los usuarios, o que se asemejan bastante.<\/p>\n

\"Sitios<\/a>

Al buscar en los resultados de b\u00fasqueda de Google, en ocasiones podr\u00e1s ver un mont\u00f3n de sitios falsos de Pok\u00e9mon<\/span> disfrazados de leg\u00edtimos. En este caso, se trata de clones de Polymarket.<\/p><\/div>\n

En segundo lugar, utiliza campa\u00f1as de correo electr\u00f3nico maliciosas como alternativa. En esta situaci\u00f3n, el ataque comienza cuando el usuario recibe un correo electr\u00f3nico que contiene un enlace a un sitio web falso. El contenido podr\u00eda verse as\u00ed:<\/p>\n

Estimados titulares de $DOP:
\nLa ventana de migraci\u00f3n de DOP-v1 a DOP-v2 se ha cerrado oficialmente, con m\u00e1s de 8000 millones de tokens migrados con \u00e9xito.
\nNos complace anunciar que el portal de reclamos DOP-v2 ya est\u00e1 ABIERTO.
\nTodos los titulares de $DOP pueden visitar el portal para reclamar sus tokens de forma segura y pasar a la siguiente fase del ecosistema.
\nReclamen sus tokens DOP-v2 ahora https:\/\/migrate-dop{dot}org\/
\nBienvenidos a DOP-v2: hoy comienza un cap\u00edtulo m\u00e1s fuerte, inteligente y gratificante.
\nGracias por ser parte de este viaje.
\nEl equipo de DOP<\/code><\/p>\n

Algunas de las p\u00e1ginas maliciosas que descubrimos en esta campa\u00f1a se hacen pasar por sitios web de aplicaciones antivirus o administradoras de contrase\u00f1as. Su contenido est\u00e1 claramente dise\u00f1ado para asustar al usuario con advertencias falsas sobre alg\u00fan tipo de problema de seguridad.<\/p>\n

\"Sitio<\/a>

Un sitio web falso de Avira advierte de una vulnerabilidad y aconseja descargar una \u201cactualizaci\u00f3n\u201d.<\/p><\/div>\n

As\u00ed que los atacantes tambi\u00e9n est\u00e1n aprovechando una t\u00e1ctica conocida como scareware<\/a>: imponer una aplicaci\u00f3n no segura a los usuarios bajo la idea de que es una protecci\u00f3n contra una amenaza imaginaria.<\/p>\n

\"Sitio<\/a>

Una p\u00e1gina falsa de Dashlane advierte sobre una \u201cexposici\u00f3n de metadatos de cifrado de alta gravedad que afecta a la sincronizaci\u00f3n de la retransmisi\u00f3n en la nube\u201d, lo que sea que quiera decir eso. Y, por supuesto, no puedes solucionarlo a menos que descargues algo.<\/p><\/div>\n

Sitios web falsos creados con Lovable<\/h2>\n

A pesar de las diferencias de contenido, los sitios web falsos involucrados en esta campa\u00f1a maliciosa comparten varias caracter\u00edsticas en com\u00fan. Para empezar, la mayor\u00eda de sus direcciones est\u00e1n creadas de acuerdo con la f\u00f3rmula {nombre de una aplicaci\u00f3n conocida} + desktop.com<\/em>, una URL que se parece mucho a una consulta de b\u00fasqueda com\u00fan.<\/p>\n

Adem\u00e1s, las p\u00e1ginas falsas en s\u00ed mismas se ven bastante profesionales. Lo interesante es que la apariencia de los sitios falsos no replica exactamente el dise\u00f1o de los originales, no son clones directos. M\u00e1s bien, son variaciones muy convincentes de un tema. Como ejemplo, podemos ver algunas versiones falsas de la p\u00e1gina de la cartera de criptomonedas\u00a0Lace. Una de ellas se ve as\u00ed:<\/p>\n

\"Sitio<\/a>

La primera variante del sitio web falso de Lace.<\/p><\/div>\n

Otra se ve as\u00ed:<\/p>\n

\"Otro<\/a>

La segunda variante del sitio web falso de Lace.<\/p><\/div>\n

Estas falsificaciones se parecen mucho al sitio web original de Lace, pero a\u00fan contienen muchas diferencias obvias:<\/p>\n

\"El<\/a>

Las versiones falsas son similares en algunos aspectos al sitio web genuino de Lace, mientras que en otros son diferentes. Fuente<\/a><\/p><\/div>\n

Resulta que los atacantes han usado un creador web con tecnolog\u00eda de IA para crear p\u00e1ginas falsas. Gracias a que los atacantes escatimaron y, sin saberlo, dejaron algunos artefactos reveladores, hemos logrado identificar el servicio exacto que est\u00e1n aprovechando: Lovable.<\/p>\n

Usar una herramienta de IA les permiti\u00f3 reducir en gran medida el tiempo requerido para crear un sitio falso y as\u00ed producir falsificaciones a escala industrial.<\/p>\n

La herramienta de administraci\u00f3n remota Syncro<\/h2>\n

Otra caracter\u00edstica com\u00fan de los sitios falsos involucrados en esta campa\u00f1a es que todos distribuyen exactamente la misma carga. El actor malicioso no cre\u00f3 su propio troyano ni compr\u00f3 uno en el mercado negro. En cambio, est\u00e1 usando su propia compilaci\u00f3n de una herramienta de acceso remoto perfectamente leg\u00edtima: Syncro.<\/p>\n

La aplicaci\u00f3n original facilita la supervisi\u00f3n centralizada y el acceso remoto para equipos de soporte de TI corporativos y proveedores de servicios gestionados (MSP). Los servicios de Syncro son relativamente econ\u00f3micos: a partir de 129\u00a0USD por mes con una cantidad ilimitada de dispositivos administrados.<\/p>\n

\"Sitio<\/a>

Sitio falso de la cartera de criptomonedas Yoroi<\/p><\/div>\n

A la vez, la herramienta posee algunas funciones importantes: adem\u00e1s de poder compartir pantalla, el servicio tambi\u00e9n ofrece ejecuci\u00f3n remota de comandos, transferencia de archivos, an\u00e1lisis de registros, edici\u00f3n de registros y otras acciones en segundo plano. Sin embargo, el principal atractivo de Syncro es un proceso de instalaci\u00f3n y conexi\u00f3n simplificado. El usuario, o en este caso la v\u00edctima, solo tiene que descargar y ejecutar el archivo de instalaci\u00f3n.<\/p>\n

A partir de ese momento, la instalaci\u00f3n se ejecuta completamente en segundo plano y carga en secreto una compilaci\u00f3n maliciosa de Syncro en el ordenador. Debido a que el CUSTOMER_ID del atacante est\u00e1 codificado de forma r\u00edgida en la compilaci\u00f3n, este obtiene al instante el control total sobre la m\u00e1quina de la v\u00edctima.<\/p>\n

\"Ventana<\/a>

La ventana del instalador de Syncro se muestra en la pantalla durante unos pocos segundos, y solo un usuario atento podr\u00eda notar que se est\u00e1 configurando el software incorrecto.<\/p><\/div>\n

Una vez que se instala Syncro en el dispositivo de la v\u00edctima, los atacantes obtienen acceso total y pueden usarlo para lograr sus objetivos. Dado el contexto, parecen estar robando claves de las carteras de criptomonedas de las v\u00edctimas y desviando fondos a las propias cuentas de los atacantes.<\/p>\n

\"Sitio<\/a>

Otro sitio falso, esta vez para el protocolo Liqwid DeFi. Aunque Liqwid solo ofrece una aplicaci\u00f3n web, el sitio falso permite a los usuarios descargar versiones para Windows, macOS e incluso Linux.<\/p><\/div>\n

C\u00f3mo protegerte contra estos ataques<\/h2>\n

Esta campa\u00f1a maliciosa supone una mayor amenaza para los usuarios por dos razones principales. En primer lugar, los sitios falsos creados con el servicio de IA se ven bastante profesionales y sus URL no son demasiado sospechosas. Por supuesto, tanto el dise\u00f1o de las p\u00e1ginas falsas como los dominios utilizados difieren bastante de los reales, pero esto solo se hace evidente con una comparaci\u00f3n directa. Pero de un vistazo es f\u00e1cil confundir la falsificaci\u00f3n con el original.<\/p>\n

En segundo lugar, los atacantes est\u00e1n utilizando una herramienta de acceso remoto leg\u00edtima para infectar a los usuarios. Esto significa que puede ser dif\u00edcil detectar la infecci\u00f3n.<\/p>\n

Nuestra soluci\u00f3n de seguridad<\/a>\u00a0tiene un veredicto especial, \u201cNot-a-virus<\/a>\u201c, para casos como este. Este veredicto se asigna, entre otras cosas, cuando se detectan en el dispositivo varias herramientas de acceso remoto, incluida la Syncro leg\u00edtima. En cuanto a las compilaciones de Syncro utilizadas con fines maliciosos, nuestra soluci\u00f3n de seguridad<\/a>\u00a0las detecta como HEUR:Backdoor.OLE2.RA-Based.gen<\/em>.<\/p>\n

Es importante recordar que, de manera predeterminada, un antivirus no bloquea todas las herramientas leg\u00edtimas de administraci\u00f3n remota para evitar interferir con el uso intencional. Por lo tanto, te recomendamos que prestes mucha atenci\u00f3n a las notificaciones de tu soluci\u00f3n de seguridad. Si ves una advertencia de que se ha detectado software de tipo Not-a-virus<\/em> en tu dispositivo, t\u00f3malo en serio y, al menos, verifica qu\u00e9 aplicaci\u00f3n lo activ\u00f3.<\/p>\n

Si tienes instalado Kaspersky Premium<\/a>, usa la funci\u00f3n de Detecci\u00f3n de accesos remotos<\/a> y, si es necesario, la opci\u00f3n para eliminar la aplicaci\u00f3n, que viene con la suscripci\u00f3n premium. Esta funci\u00f3n detecta alrededor de 30 de las aplicaciones de acceso remoto leg\u00edtimas m\u00e1s populares, y si sabes que no instalaste ninguna de ellas, es motivo de preocupaci\u00f3n.<\/p>\n

\"Kaspersky<\/a>

Kaspersky Premium detecta (y te permite eliminar) incluso las versiones leg\u00edtimas de Syncro y otras aplicaciones de acceso remoto.<\/p><\/div>\n

M\u00e1s recomendaciones:<\/p>\n