Hace uso de sitios web aparentemente creíbles con nombres de dominio con errores tipográficos
Los usuarios que buscan software popular están siendo el objetivo de una nueva campaña de publicidad maliciosa que abusa de Google Ads para ofrecer variantes troyanizadas que implementan malware, como Raccoon Stealer y Vidar.
La actividad hace uso de sitios web aparentemente creíbles con nombres de dominio con errores tipográficos que aparecen en la parte superior de los resultados de búsqueda de Google en forma de anuncios maliciosos mediante el secuestro de búsquedas de palabras clave específicas.
El objetivo final de tales ataques es engañar a los desprevenidos usuarios para que descarguen programas malévolos o aplicaciones potencialmente no deseadas.
En una campaña divulgada por Guardio Labs, se observó a los actores de amenazas creando una red de sitios benignos que se promocionan en el motor de búsqueda, que cuando se hace clic, redirigen a los visitantes a una página de phishing que contiene un archivo ZIP con troyanos alojado en Dropbox o OneDrive.
"En el momento en que esos sitios 'disfrazados' son visitados por visitantes específicos (aquellos que realmente hacen clic en el resultado de búsqueda promocionado), el servidor los redirige inmediatamente al sitio falso y de allí a la carga maliciosa", dijo el investigador Nati Tal.
Entre el software suplantado se incluyen AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack y Zoom, entre otros.
Guardio Labs, que ha denominado la campaña MasquerAds, atribuye una gran parte de la actividad a un actor de amenazas que está rastreando bajo el nombre de Vermux, y señala que el adversario está "abusando de una amplia lista de marcas y sigue evolucionando".
La operación Vermux ha seleccionado principalmente a usuarios en Canadá y EE. UU., empleando sitios de masquerAds adaptados a las búsquedas de AnyDesk y MSI Afterburner para proliferar mineros de criptomonedas y ladrones de información de Vidar.
El desarrollo marca el uso continuo de dominios typosquatted (allanamiento de error tipográfico) que imitan el software legítimo para atraer a los usuarios a instalar aplicaciones no autorizadas de Android y Windows.
También está lejos de ser la primera vez que se aprovecha la plataforma de Google Ads para dispensar malware. El mes pasado, Microsoft reveló una campaña de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se usa para activar el ransomware Royal.
Aparte de BATLOADER, los actores maliciosos también han utilizado técnicas de publicidad maliciosa para distribuir el malware IcedID a través de páginas web clonadas de aplicaciones conocidas como Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird y TeamViewer.
"IcedID es una notable familia de malware que es capaz de entregar otras cargas útiles, incluido Cobalt Strike y otro malware", dijo Trend Micro la semana pasada. "IcedID permite a los atacantes realizar ataques de seguimiento de gran impacto que conducen al compromiso total del sistema, como el robo de datos y el ransomware paralizante".
Los hallazgos también se producen cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió que "los ciberdelincuentes están utilizando los servicios de anuncios de motores de búsqueda para hacerse pasar por marcas y dirigir a los usuarios a sitios maliciosos que alojan ransomware y roban credenciales de inicio de sesión y otra información financiera".
