Los usuarios de habla china han sido blanco de anuncios maliciosos de Google para aplicaciones de mensajería restringidas como Telegram como parte de una campaña de publicidad maliciosa en curso.
“El actor de amenazas está abusando de las cuentas de anunciantes de Google para crear anuncios maliciosos y dirigirlos a páginas donde los usuarios desprevenidos descargarán troyanos de administración remota (RAT)”, Jérôme Segura de Malwarebytes dicho en un informe del jueves. “Tales programas le dan al atacante control total de la máquina de la víctima y la capacidad de lanzar malware adicional”.
Vale la pena señalar que la actividad, cuyo nombre en código aplicación falsaes una continuación de una ola de ataques anterior dirigida a usuarios de Hong Kong que buscaban aplicaciones de mensajería como WhatsApp y Telegram en motores de búsqueda a finales de octubre de 2023.
La última versión de la campaña también agrega la aplicación de mensajería LINE a la lista de aplicaciones de mensajería, redirigiendo a los usuarios a sitios web falsos alojados en Google Docs o Google Sites.
La infraestructura de Google se utiliza para insertar enlaces a otros sitios bajo el control del actor de amenazas con el fin de entregar archivos de instalación maliciosos que en última instancia implementan troyanos como PlugX y Gh0st RAT.
Malwarebytes dijo que rastreó los anuncios fraudulentos hasta dos cuentas de anunciantes denominadas Equipo de comunicación interactiva limitado y Ringier Media Nigeria Limitada que tienen su sede en Nigeria.
“También parece que el actor de amenazas privilegia la cantidad sobre la calidad al impulsar constantemente nuevas cargas útiles e infraestructura como comando y control”, dijo Segura.
El desarrollo se produce cuando Trustwave SpiderLabs reveló un aumento en el uso de una plataforma de phishing como servicio (PhaaS) llamada Greatness para crear páginas de recolección de credenciales de apariencia legítima dirigidas a usuarios de Microsoft 365.
“El kit permite personalizar los nombres de los remitentes, direcciones de correo electrónico, asuntos, mensajes, archivos adjuntos y códigos QR, mejorando la relevancia y el compromiso”, dijo la empresa. dichoy agrega que viene con medidas antidetección como aleatorización de encabezados, codificación y ofuscación con el objetivo de evitar los filtros de spam y los sistemas de seguridad.
Greatness se ofrece a la venta a otros actores criminales por 120 dólares al mes, lo que efectivamente reduce la barrera de entrada y les ayuda a realizar ataques a escala.
Las cadenas de ataque implican el envío de correos electrónicos de phishing con archivos adjuntos HTML maliciosos que, cuando los destinatarios los abren, los dirigen a una página de inicio de sesión falsa que captura las credenciales de inicio de sesión ingresadas y filtra los detalles al actor de la amenaza a través de Telegram.
Otras secuencias de infección han aprovechado los archivos adjuntos para colocar malware en la máquina de la víctima y facilitar el robo de información.
Para aumentar la probabilidad de éxito del ataque, los mensajes de correo electrónico falsifican fuentes confiables como bancos y empleadores e inducen una falsa sensación de urgencia utilizando temas como “pagos urgentes de facturas” o “se requiere verificación urgente de cuenta”.
“El número de víctimas se desconoce en este momento, pero Greatness es ampliamente utilizado y cuenta con un buen soporte, con su propia comunidad de Telegram que proporciona información sobre cómo operar el kit, junto con consejos y trucos adicionales”, dijo Trustwave.
También se han observado ataques de phishing que afectan a empresas surcoreanas que utilizan señuelos que se hacen pasar por empresas de tecnología como Kakao para distribuir AsyncRAT a través de archivos maliciosos de acceso directo de Windows (LNK).
“Continuamente se distribuyen archivos maliciosos de acceso directo disfrazados de documentos legítimos”, afirma el Centro de Inteligencia de Seguridad de AhnLab (ASEC) dicho. “Los usuarios pueden confundir el archivo de acceso directo con un documento normal, ya que la extensión ‘.LNK’ no es visible en los nombres de los archivos”.