Campaña de publicidad utiliza un falso portal de noticias de Windows para distribuir malware
El falso sitio web imita a WindowsReport[.]com
Se ha descubierto que una nueva campaña de publicidad maliciosa emplea sitios falsos que se hacen pasar por un portal legítimo de noticias de Windows para propagar un instalador malicioso de una popular herramienta de creación de perfiles del sistema llamada CPU-Z.
"Este incidente es parte de una campaña de publicidad maliciosa más amplia que apunta a otras utilidades como Notepad++, Citrix y VNC Viewer, como se ve en su infraestructura (nombres de dominio) y plantillas de encubrimiento utilizadas para evitar la detección", dijo Jérôme Segura de Malwarebytes.
Si bien se sabe que las campañas de publicidad maliciosa crean sitios réplica que anuncian software ampliamente utilizado, la última actividad marca una desviación en el sentido de que el sitio web imita a WindowsReport[.]com.
El objetivo es engañar a los usuarios desprevenidos que buscan CPU-Z en motores de búsqueda como Google publicando anuncios maliciosos que, al hacer clic en ellos, los redireccionan al portal falso (workspace-app[.]online).
Al mismo tiempo, los usuarios que no son las víctimas previstas de la campaña reciben un blog inocuo con diferentes artículos, una técnica conocida como encubrimiento (cloaking en inglés).
El instalador MSI firmado que está alojado en el sitio web fraudulento contiene un script de PowerShell malicioso, un cargador conocido como FakeBat (también conocido como EugenLoader), que sirve como conducto para implementar RedLine Stealer en el host comprometido.
"Es posible que el actor de la amenaza haya elegido crear un sitio señuelo parecido a Windows Report porque muchas utilidades de software a menudo se descargan desde dichos portales en lugar de desde su página web oficial", señaló Segura.
Esta no es la primera vez que los anuncios engañosos de Google para software popular resultan ser un vector de distribución de malware. La semana pasada, la empresa de ciberseguridad eSentire reveló detalles de una campaña actualizada de Nitrogen que allana el camino para un ataque de ransomware BlackCat.
