Los atacantes están comprando anuncios en general y otros para aparecer en los primeros resultados de las búsquedas. De este modo, cuando un usuario consulta por herramientas muy populares como OBS, WinRar, 7-zip, VCL o Rufus, el buscador presenta en primer lugar un anuncio de un sitio muy parecido a la página original y legítima del programa. Pero en su lugar, se descarga un ejecutable que, una vez lanzado, aparentemente no hace nada pero que sin embargo, robará todas las sesiones posibles y redes de la víctima.
Un conocido influencer dio la voz de alarma tras ser víctima de este ataque y “vio comprometido todo canal con su comunidad, familia y amigos”. En los últimos días incluso los anuncios genéricos de Google se han visto afectados. También simulan ser herramientas legítimas y el malware que se instala ha variado hacia diferentes formas de ransomware.
Los intermediarios de acceso a ransomware utilizan anuncios de Google para vulnerar su red
Un actor de amenazas rastreado como DEV-0569 utiliza anuncios de Google en campañas publicitarias generalizadas y continuas para distribuir malware, robar las contraseñas de las víctimas y, en última instancia, violar las redes para realizar ataques de ransomware.
La lista de malware instalado en estas campañas hasta ahora incluye RedLine Stealer, Gozi/Ursnif, Vidar y, potencialmente, Cobalt Strike y ransomware.
Los investigadores de ciberseguridad MalwareHunterTeam, Germán Fernández y Will Dormann han dado a conocer cómo los resultados de búsqueda de Google se han convertido en un hervidero de anuncios maliciosos que difunden malware. Estos anuncios simulan ser sitios web de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR y VLC.
Al hacer clic en los anuncios, los visitantes acceden a sitios que parecen portales de descarga o réplicas de los sitios legítimos del software. Sin embargo, al hacer clic en los enlaces de descarga, normalmente se descarga un archivo MSI que instala diversos programas maliciosos en función de la campaña. La lista de malware instalado en estas campañas hasta ahora incluye RedLine Stealer, Gozi/Ursnif, Vidar y, potencialmente, Cobalt Strike y ransomware.
De los anuncios de Google a los ataques de ransomware
En febrero de 2022, Mandiant descubrió una campaña de distribución de malware que utilizaba el envenenamiento SEO para posicionar en los resultados de búsqueda páginas que simulaban ser de software popular.
Si un usuario instalaba el software ofrecido desde estas páginas, se ejecutaba un nuevo descargador de malware llamado BatLoader, que inicia un proceso de infección de varias etapas que, en última instancia, proporciona a los actores de la amenaza acceso inicial a las redes de las víctimas.
Ese mismo año, Microsoft informó de que los responsables de BatLoader, rastreado como DEV-0569, habían empezado a utilizar anuncios de Google para promocionar sus sitios maliciosos.
Los investigadores creen que DEV-0569 es un intermediario de acceso inicial que utiliza su sistema de distribución de malware para violar las redes corporativas.
Los investigadores creen que DEV-0569 es un intermediario de acceso inicial que utiliza su sistema de distribución de malware para violar las redes corporativas. Utilizan este acceso en sus propios ataques o lo venden a otros actores maliciosos, como la banda Royal ransomware.
El pasado 21 de enero, el investigador de CronUp Germán Fernández observó que los anuncios recientes de Google que promocionaban software popular conducían a sitios maliciosos que utilizan la infraestructura operada por los actores de la amenaza DEV-0569.
Aunque los instaladores maliciosos de esta campaña ya no utilizan BatLoader, como en las campañas anteriores vistas por Microsoft, instalan un ladrón de información (RedLine Stealer) y luego un descargador de malware (Gozi/Ursnif).
En la campaña actual, RedLine se utiliza para robar datos, como contraseñas, cookies y monederos de criptomonedas, mientras que Gozi/Ursnif se utiliza para descargar más malware.
Si (
No(
