Los usuarios que buscan software popular están siendo el objetivo de una nueva campaña de publicidad maliciosa que abusa de Google Ads para ofrecer variantes troyanizadas que implementan malware, como Raccoon Stealer y Vidar.
La actividad hace uso de sitios web aparentemente creíbles con nombres de dominio con errores tipográficos que aparecen en la parte superior de los resultados de búsqueda de Google en forma de anuncios maliciosos mediante el secuestro de búsquedas de palabras clave específicas.
El objetivo último de tales ataques es truco nada suspicaz usuarios en la descarga de programas malévolos o aplicaciones potencialmente no deseadas.
En una campaña revelada por Guardio Labs, se observó a los actores de amenazas creando una red de sitios benignos que se promocionan en el motor de búsqueda, que cuando se hace clic, redirige a los visitantes a una página de phishing que contiene un archivo ZIP troyano alojado en Dropbox o OneDrive.
«En el momento en que esos sitios ‘disfrazados’ son visitados por visitantes específicos (aquellos que realmente hacen clic en el resultado de búsqueda promocionado), el servidor los redirige inmediatamente al sitio falso y de allí a la carga maliciosa», dijo la investigadora Nati Tal. dijo.
Entre el software suplantado se incluyen AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack y Zoom, entre otros.
Guardio Labs, que ha denominado la campaña MasquerAds, atribuye una gran parte de la actividad a un actor de amenazas que está rastreando bajo el nombre de Vermux, y señala que el adversario está «abusando de una amplia lista de marcas y sigue evolucionando».
La operación Vermux ha seleccionado principalmente a usuarios en Canadá y EE. UU., empleando sitios de masquerAds adaptados a las búsquedas de AnyDesk y MSI Afterburner para proliferar mineros de criptomonedas y ladrones de información de Vidar.
El desarrollo marca el uso continuo de dominios typosquatted que imitan software legítimo para atraer a los usuarios a instalar rogue Androide y aplicaciones de Windows.
También está lejos de ser la primera vez que se aprovecha la plataforma de Google Ads para dispensar malware. El mes pasado, Microsoft reveló una campaña de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se usa para eliminar el ransomware Royal.
Aparte de BATLOADER, los actores maliciosos también han utilizado técnicas de publicidad maliciosa para distribuir el malware IcedID a través de páginas web clonadas de aplicaciones conocidas como Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird y TeamViewer.
«IcedID es una familia de malware notable que es capaz de entregar otras cargas útiles, incluido Cobalt Strike y otro malware», Trend Micro dijo la semana pasada. «IcedID permite a los atacantes realizar ataques de seguimiento de gran impacto que conducen al compromiso total del sistema, como el robo de datos y el ransomware paralizante».
Los hallazgos también llegan cuando la Oficina Federal de Investigaciones de EE. UU. (FBI) prevenido que «los ciberdelincuentes están utilizando los servicios de anuncios de motores de búsqueda para hacerse pasar por marcas y dirigir a los usuarios a sitios maliciosos que alojan ransomware y roban credenciales de inicio de sesión y otra información financiera».