Uma campanha que simula uma atualização do Windows no navegador para fornecer o malware de roubo de informações Aurora. Escrito em Golang, o Aurora está disponível em vários fóruns de hackers há mais de um ano, anunciado como um ladrão de informações com amplos recursos e baixa detecção de antivírus.
De acordo com pesquisadores da Malwarebytes, a operação de malvertising depende de anúncios popunder em sites de conteúdo adulto com conteúdo adulto de alto tráfego e redireciona vítimas em potencial para um local de exibição de malware.
Atualização falsa do Windows distribuindo malware Aurora
Os anúncios popunder são anúncios “pop-up’ baratos que são lançados atrás da janela ativa do navegador, permanecendo ocultos do usuário até que eles fechem ou movam a janela principal do navegador. Em dezembro do ano passado, o Google informou que popunders foram usados ??em uma campanha de fraude de anúncios que acumulou centenas de milhares de visitantes e dezenas de milhões de impressões de anúncios fraudulentos.
Notícias Relacionadas
Cibercriminosos usam mais de 3.000 contas do GitHub para distribuir malware
Cibercriminosos conhecidos como Stargazer Goblin criaram um malware Distribution-as-a-Service (DaaS) de mais de 3.000 contas falsas no GitHub que espalham malware para roubo de informações dos usuários da plataforma. Contas do GitHub usadas para distribuir malware O serviço de entrega de malware é chamado Stargazers Ghost Network e utiliza repositórios GitHub junto com sites WordPress […]
Grupo APT Daggerfly foi flagrado usando versão atualizada do backdoor do Macma macOS
O grupo de cibercriminosos APT Daggerfly, ligado à China, foi flagrado usando uma versão atualizada do backdoor do macOS Macma. O grupoatualizou significativamente seu arsenal de malware, adicionando uma nova família de malware. Versão atualizada do backdoor do Macma macOS é lançada pelo APT Daggerfly As informações de que o grupo de espionagem Daggerfly (também […]
O mais recente detectado pelo Malwarebytes tem um impacto muito menor, com cerca de 30.000 usuários redirecionados e quase 600 baixando e instalando o malware de roubo de dados em seus sistemas. No entanto, o agente da ameaça teve uma ideia imaginativa em que o popunder renderiza uma janela do navegador em tela cheia que simula uma tela de atualização do sistema Windows.
Os pesquisadores rastrearam mais de uma dúzia de domínios usados ??nas campanhas, muitos deles parecendo se passar por sites adultos, que simulavam a falsa atualização do Windows: activessd[.]ru; chistauyavoda[.]ru; xxxxxxxxxxxxxxx[.]ru; activehdd[.]ru; oled8kultra[.]ru; xhamster-18[.]ru; oled8kultra[.]site; activessd6[.]ru; activedebian[.]ru; shluhapizdec[.]ru; 04042023[.]ru; clickaineasdfer[.]ru; moskovpizda[.]ru; pochelvpizdy[.]ru; evatds[.]ru; click7adilla[.]ru e; grhfgetraeg6yrt[.]site.
Todos eles serviram para download de um arquivo chamado “ChromeUpdate.exe”, revelando a decepção da tela do navegador em tela cheia; no entanto, alguns usuários ainda foram induzidos a implantar o executável malicioso.
Novo carregador de malware
O suposto atualizador do Chrome é um carregador de malware “totalmente indetectável” (FUD) chamado “Impressora inválida”, que parece ser usado exclusivamente por esse agente de ameaça em particular.
De acordo com a Malwarebytes, seus analistas descobriram “Impressora inválida”, nenhum mecanismo antivírus no Virus Total o sinalizou como malicioso. A detecção começou a aumentar algumas semanas depois, após a publicação de um relatório relevante da Morphisec.
A impressora inválida primeiro verifica a placa gráfica do host para determinar se ela está sendo executada em uma máquina virtual ou em um ambiente de sandbox. Caso contrário, ele descompacta e lança uma cópia do ladrão de informações Aurora, descobriram os pesquisadores.
O Malwarebytes comenta que o agente da ameaça por trás dessa campanha parece estar particularmente interessado em criar ferramentas difíceis de detectar, e eles estão constantemente carregando novas amostras no Virus Total para verificar como eles se saem contra os mecanismos de detecção.
Uma investigação mais aprofundada revelou que o agente da ameaça também usa um painel Amadey, potencialmente indicando o uso da bem documentada ferramenta de reconhecimento e carregamento de malware, e também executa golpes de suporte técnico direcionados aos ucranianos.
