Han surgido detalles sobre una campaña de publicidad maliciosa que aprovecha Google Ads para dirigir a los usuarios que buscan software popular a páginas de destino ficticias y distribuir cargas útiles de la siguiente etapa.
Malwarebytes, que descubrió la actividad, dicho es “único en su forma de tomar huellas dactilares de los usuarios y distribuir cargas útiles urgentes”.
El ataque señala a los usuarios que buscan convertidores Notepad++ y PDF para publicar anuncios falsos en la página de resultados de búsqueda de Google que, al hacer clic en ellos, filtra los bots y otras direcciones IP no deseadas mostrando un sitio señuelo.
Si se considera que el visitante es de interés para el actor de la amenaza, la víctima es redirigida a un sitio web réplica que anuncia el software, mientras toma silenciosamente las huellas dactilares del sistema para determinar si la solicitud se origina en una máquina virtual.
Los usuarios que no pasan la verificación son dirigidos al sitio web legítimo de Notepad++, mientras que a un objetivo potencial se le asigna una identificación única para “fines de seguimiento, pero también para hacer que cada descarga sea única y urgente”.
El malware de etapa final es una carga útil HTA que establece una conexión a un dominio remoto (“mybigeye[.]icu”) en un puerto personalizado y sirve malware de seguimiento.
“Los actores de amenazas están aplicando con éxito técnicas de evasión que eluden los controles de verificación de anuncios y les permiten apuntar a ciertos tipos de víctimas”, afirmó Jérôme Segura, director de inteligencia de amenazas.
“Con una cadena de entrega de malware confiable, los actores maliciosos pueden concentrarse en mejorar sus páginas señuelo y crear cargas útiles de malware personalizadas”.
La divulgación se superpone con una campaña similar dirigida a los usuarios que buscan el administrador de contraseñas KeePass con anuncios maliciosos que dirigen a las víctimas a un dominio usando código puny (guardar[.]info vs ķeepass[.]info), una codificación especial utilizada para convertir caracteres Unicode a ASCII.
“Las personas que hagan clic en el anuncio serán redirigidas a través de un servicio de encubrimiento destinado a filtrar zonas de pruebas, bots y cualquier persona que no se considere una víctima genuina”, Segura anotado. “Los actores de amenazas han creado un dominio temporal en keepastacking[.]sitio que realiza la redirección condicional al destino final.”
Los usuarios que llegan al sitio señuelo son engañados para que descarguen un instalador malicioso que, en última instancia, conduce a la ejecución de FakeBat (también conocido como EugenLoader), un cargador diseñado para descargar otro código malicioso.
El abuso de Punycode no es del todo novedoso, pero combinarlo con Google Ads deshonestos es una señal de que la publicidad maliciosa a través de los motores de búsqueda se está volviendo más sofisticada. Al emplear Punycode para registrar nombres de dominio similares como sitios legítimos, el objetivo es lograr una ataque homógrafo y atraer a las víctimas para que instalen malware.
“Si bien los actores de amenazas han utilizado Punycode con nombres de dominio internacionalizados durante años para atacar a las víctimas de phishing, esto demuestra cuán efectivo sigue siendo en el contexto de la suplantación de marcas a través de publicidad maliciosa”, dijo Segura.
Hablando de engaños visuales, se ha observado que múltiples actores de amenazas (TA569 (también conocido como SocGholish), RogueRticate (FakeSG), ZPHP (SmartApeSG), ClearFake y EtherHiding aprovechan temas relacionados con actualizaciones falsas del navegador para propagar Cobalt Strike, cargadores y ladrones. y troyanos de acceso remoto, una señal de que estos ataques son una amenaza constante y en evolución.
“Las actualizaciones falsas del navegador abusan de la confianza del usuario final con sitios web comprometidos y un señuelo personalizado para el navegador del usuario para legitimar la actualización y engañar a los usuarios para que hagan clic”, dijo el investigador de Proofpoint, Dusty Miller. dicho en un análisis publicado esta semana.
“La amenaza está sólo en el navegador y puede iniciarse con un clic desde un correo electrónico legítimo y esperado, un sitio de redes sociales, una consulta en un motor de búsqueda o incluso simplemente navegando al sitio comprometido”.