Atacantes Copiando Sites de Software Legítimos para Espalhar Malware via Plataforma de Anúncios do Google

Houve um aumento no número de atores de ameaças abusando da plataforma de anúncios do Google para distribuir malware a usuários desavisados que estão procurando baixar esses produtos de software populares.

Bem, os atores de ameaças replicam os sites oficiais desses produtos de software e, em seguida, espalham versões cheias de trojans desses produtos quando o usuário clica no botão de download.

Estes são os produtos de software que os atores de ameaças estão visando – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer e Audacity.

Bem, alguns desses softwares maliciosos que a vítima obteve em seus computadores incluem as variantes do Racoon Stealer, que é uma versão personalizada do Vidar Steeler e do carregador de malware IceID.

Um mês atrás, cobrimos a campanha do MSI Afterburner, que infectou usuários com o malware RedLine, e um relatório da Bleeping Computers menciona uma enorme campanha de typosquatting na qual até 200 domínios copiaram produtos de software.

Não estava claro como as vítimas acabaram acessando esses sites, embora relatórios de várias empresas de segurança como TrendMicro e Guardio Labs expliquem que tudo aconteceu à medida que os atacantes de ameaças alcançaram uma base de usuários mais ampla promovendo seus sites por meio de campanhas de anúncios do Google!

A plataforma de anúncios do Google é um serviço que permite que anunciantes promovam seus sites e páginas enquanto os colocam no topo da pesquisa e, muitas vezes, acima dos sites oficiais dos produtos.

Isso significa que os usuários que não usam ou têm bloqueadores de anúncios desativados verão esse site promovido em destaque e clicarão nele, considerando-o um resultado de pesquisa real!

Os atores de ameaças então aplicam truques para contornar as verificações automatizadas do Google, e se o Google descobrir que a página de destino é maliciosa, a campanha de anúncios é bloqueada e os anúncios são removidos.

Agora, de acordo com a GaurdioLabs e TrendMicro. O truque que os atacantes de ameaças usam é fazer com que as vítimas cliquem no anúncio e, em seguida, levá-las a um site não relacionado, mas não prejudicial, que, a propósito, também é criado pelo atacante, redirecionando-as para o site malicioso que se passa pelo produto de software.

Assim que os usuários-alvo visitam o site duplicado, o servidor imediatamente os redireciona para o site fraudulento e, a partir daí, para a carga maliciosa, disse a GaurdioLabs.

Além disso, esses sites fraudulentos não são visíveis para o visitante, não alcançando-os a partir do fluxo promocional real, sites irrelevantes para os crawlers, visitantes ocasionais, bots e aplicadores de políticas do Google.

A carga vem em um arquivo ZIP e é baixada de um site legítimo como GitHub, Dropbox ou Discord CDN, garantindo que o antivírus em execução no computador alvo não se oponha ao download.

De acordo com a empresa de segurança, a campanha que descobriram em novembro, na qual os atacantes de ameaças atraíram os usuários para a versão cheia de trojans do Grammarly, que tinha o Racoon Stealer.

O malware veio com o software original, então os usuários obtêm o software legítimo, bem como o malware que seria instalado silenciosamente.

Chegando a um relatório da TrendMicro que explica que a campanha IceID, na qual os atacantes exploraram o sistema de tráfego Ketaro para detectar se o usuário que visita o site é realmente uma vítima ou um pesquisador, e então ocorre o redirecionamento; essa exploração TDS existe desde 2019.

Bem, dito isso, os resultados de pesquisa promovidos são frequentemente difíceis de identificar como falsos devido a eles carregarem todos os elementos de legitimidade, então uma maneira de bloquear essas campanhas de anúncios é ativar um bloqueador de anúncios em seu navegador, que, por sua vez, filtrará os resultados de pesquisa promovidos.

Outra maneira é rolar para baixo na página da web até ver o domínio do produto de software que você está procurando baixar.

Leia: RisePro Malware Roubando Senhas, Informações de Cartão de Crédito e Carteiras de Criptomoeda