Una nueva campa\u00f1a est\u00e1 enga\u00f1ando a los usuarios que buscan la aplicaci\u00f3n Meta Quest (anteriormente Oculus) para Windows para que descarguen una nueva familia de adware llamada AdsExhaust.<\/p>\n
“El adware es capaz de extraer capturas de pantalla de dispositivos infectados e interactuar con los navegadores mediante pulsaciones de teclas simuladas”, afirma la empresa de ciberseguridad eSentire. dicho<\/a> en un an\u00e1lisis, agreg\u00f3 que identific\u00f3 la actividad a principios de este mes.<\/p>\n “Estas funcionalidades le permiten hacer clic autom\u00e1ticamente en anuncios o redirigir el navegador a URL espec\u00edficas, generando ingresos para los operadores de adware”.<\/p>\n La cadena de infecci\u00f3n inicial implica la aparici\u00f3n de un sitio web falso (“oculus-app[.]com”) en las p\u00e1ginas de resultados de b\u00fasqueda de Google utilizando t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO), lo que incita a los visitantes desprevenidos del sitio a descargar un archivo ZIP (“oculus-app.EXE.zip”) que contiene un script por lotes de Windows.<\/p>\n El script por lotes est\u00e1 dise\u00f1ado para recuperar un segundo script por lotes de un servidor de comando y control (C2), que, a su vez, contiene un comando para recuperar otro archivo por lotes. Tambi\u00e9n crea tareas programadas en la m\u00e1quina para ejecutar los scripts por lotes en diferentes momentos.<\/p>\n A este paso le sigue la descarga de la aplicaci\u00f3n leg\u00edtima en el host comprometido, mientras que simult\u00e1neamente se eliminan archivos adicionales de Visual Basic Script (VBS) y scripts de PowerShell para recopilar informaci\u00f3n de IP y del sistema, capturar capturas de pantalla y filtrar los datos a un servidor remoto ( “nosotros11[.]org\/in.php”).<\/p>\n La respuesta del servidor es el software publicitario AdsExhaust basado en PowerShell que comprueba si el navegador Edge de Microsoft se est\u00e1 ejecutando y determina la \u00faltima vez que se produjo una entrada del usuario.<\/p>\n “Si Edge se est\u00e1 ejecutando y el sistema est\u00e1 inactivo y excede los 9 minutos, el script puede inyectar clics, abrir nuevas pesta\u00f1as y navegar a las URL incrustadas en el script”, dijo eSentire. “Luego se desplaza aleatoriamente hacia arriba y hacia abajo en la p\u00e1gina abierta”.<\/p>\n Se sospecha que este comportamiento tiene como objetivo activar elementos como anuncios en la p\u00e1gina web, especialmente considerando que AdsExhaust realiza clics aleatorios dentro de coordenadas espec\u00edficas en la pantalla.<\/p>\n El adware tambi\u00e9n es capaz de cerrar el navegador abierto si se detecta movimiento del mouse o interacci\u00f3n del usuario, creando una superposici\u00f3n para ocultar sus actividades a la v\u00edctima y buscando la palabra “Patrocinado” en la pesta\u00f1a del navegador Edge abierta actualmente para hacer clic en el anuncio con el objetivo de inflar los ingresos publicitarios.<\/p>\n Adem\u00e1s, est\u00e1 equipado para obtener una lista de palabras clave de un servidor remoto y realizar b\u00fasquedas en Google de esas palabras clave iniciando sesiones del navegador Edge a trav\u00e9s del comando Start-Process PowerShell.<\/p>\n “AdsExhaust es una amenaza de adware que manipula inteligentemente las interacciones de los usuarios y oculta sus actividades para generar ingresos no autorizados”, se\u00f1al\u00f3 la empresa canadiense.<\/p>\n “Contiene m\u00faltiples t\u00e9cnicas, como recuperar c\u00f3digo malicioso del servidor C2, simular pulsaciones de teclas, realizar capturas de pantalla y crear superposiciones para pasar desapercibido mientras se realizan actividades da\u00f1inas”.<\/p>\n El desarrollo se produce cuando sitios web falsos similares de soporte de TI que aparecen en los resultados de b\u00fasqueda se utilizan para entregar Hijack Loader (tambi\u00e9n conocido como IDAT Loader), que en \u00faltima instancia conduce a una infecci\u00f3n de Vidar Stealer.<\/p>\n Lo que hace que el ataque se destaque es que los actores de la amenaza tambi\u00e9n est\u00e1n aprovechando los videos de YouTube para publicitar el sitio falso y usando bots para publicar comentarios fraudulentos, d\u00e1ndole una apariencia de legitimidad a los usuarios que buscan soluciones para solucionar un error de actualizaci\u00f3n de Windows (c\u00f3digo de error 0x80070643). ).<\/p>\n “Esto resalta la efectividad de las t\u00e1cticas de ingenier\u00eda social y la necesidad de que los usuarios sean cautelosos acerca de la autenticidad de las soluciones que encuentran en l\u00ednea”, eSentire dicho<\/a>.<\/p>\n La divulgaci\u00f3n tambi\u00e9n llega inmediatamente despu\u00e9s de una campa\u00f1a malpsam dirigida a usuarios en Italia con se\u00f1uelos de archivos ZIP con temas de facturas para entregar un troyano de acceso remoto basado en Java llamado viento en contra<\/a> (tambi\u00e9n conocido como AlienSpy, Frutas, jRAT, JSocket, Sockrat y Unrecom).<\/p>\n “Tras la extracci\u00f3n, el usuario recibe archivos .HTML como INVOICE.html o DOCUMENT.html que conducen a archivos .jar maliciosos”, Symantec, propiedad de Broadcom dicho<\/a>.<\/p>\n “La carga \u00fatil final ca\u00edda es viento en contra<\/a> Troyano de acceso remoto (RAT) que permite a los atacantes controlar el punto final comprometido, as\u00ed como la recopilaci\u00f3n y exfiltraci\u00f3n de datos confidenciales”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Advertencia-nueva-campana-de-publicidad-dirigida-a-los-buscadores-de.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n