Los actores de amenazas están aprovechando resultados de búsqueda manipulados y anuncios falsos de Google que engañan a los usuarios que buscan descargar software legítimo como WinSCP para que instalen malware.
La empresa de ciberseguridad Securonix está rastreando la actividad en curso bajo el nombre SEO#ACEDADOR.
«El anuncio malicioso dirige al usuario a un sitio web de WordPress comprometido gameeweb[.]com, que redirige al usuario a un sitio de phishing controlado por el atacante», afirman los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov dicho en un informe compartido con The Hacker News.
Se cree que los actores de amenazas aprovechan los anuncios dinámicos de búsqueda de Google (DSA), que genera automáticamente anuncios basados en el contenido de un sitio para publicar anuncios maliciosos que llevan a las víctimas al sitio infectado.
El objetivo final de la compleja cadena de ataque de varias etapas es atraer a los usuarios para que hagan clic en el sitio web falso y parecido a WinSCP, winccp.[.]net y descargue el malware.
«Tráfico desde gaweeweb[.]com sitio web al falso winsccp[.]net depende de que el encabezado de referencia correcto esté configurado correctamente», dijeron los investigadores. «Si la referencia es incorrecta, el usuario es ‘Rick Rolled‘ y se envía al infame vídeo de Rick Astley en YouTube».
La carga útil final toma la forma de un archivo ZIP («WinSCP_v.6.1.zip») que viene con un ejecutable de configuración que, cuando se inicia, emplea Carga lateral de DLL para cargar y ejecutar un archivo DLL llamado python311.dll que está presente en el archivo.
La DLL, por su parte, descarga y ejecuta un instalador legítimo de WinSCP para mantener la artimaña, mientras deja caer sigilosamente scripts de Python («slv.py» y «wo15.py») en segundo plano para activar el comportamiento malicioso. También es responsable de configurar la persistencia.
Ambos scripts de Python están diseñados para establecer contacto con un servidor remoto controlado por un actor para recibir instrucciones adicionales que permitan a los atacantes ejecutar comandos de enumeración en el host.
«Dado que los atacantes estaban aprovechando Google Ads para dispersar malware, se puede creer que los objetivos se limitan a cualquiera que busque software WinSCP», dijeron los investigadores.
«El bloqueo geográfico utilizado en el sitio que aloja el malware sugiere que quienes se encuentran en los EE. UU. son víctimas de este ataque».
Esta no es la primera vez que se abusa de los anuncios dinámicos de búsqueda de Google para distribuir malware. A finales del mes pasado, Malwarebytes levantó la tapa de una campaña dirigida a los usuarios que buscan PyCharm con enlaces a un sitio web pirateado que alberga un instalador fraudulento que allana el camino para la implementación de malware que roba información.
La publicidad maliciosa tiene crecido en popularidad entre los ciberdelincuentes en los últimos años, con numerosas campañas de malware que utilizan esta táctica para ataques en los últimos meses.
A principios de esta semana, Malwarebytes reveló un aumento en las campañas de robo de tarjetas de crédito en octubre de 2023 que se estima que comprometieron a cientos de sitios web de comercio electrónico con el objetivo de robar información financiera mediante la inyección de páginas de pago falsificadas y convincentes.