Um ator de ameaças tem abusado do Google Ads para distribuir uma versão trojanizada da ferramenta CPU-Z. Esse abuso tem sido utilizado para entregar o malware de roubo de informações Redline. Essa nova campanha foi detectada por analistas da Malwarebytes que, com base na infraestrutura de apoio, avaliam que faz parte da mesma operação que usou malvertising do Notepad++ para entregar cargas maliciosas.
Detalhes da campanha de distribuição de versão trojanizada da ferramenta CPU-Z
O anúncio malicioso do Google para o CPU-Z trojanizado, uma ferramenta que cria perfis de hardware de computador no Windows, está hospedado em uma cópia clonada do site legítimo de notícias do Windows, WindowsReport. CPU-Z é um utilitário gratuito popular que pode ajudar os usuários a monitorar diferentes componentes de hardware, desde velocidades de ventiladores até taxas de clock da CPU, voltagem e detalhes de cache.
Clicar no anúncio leva a vítima a uma etapa de redirecionamento que engana os rastreadores antiabuso do Google, enviando visitantes inválidos para um site inócuo. Aqueles considerados válidos para receber a carga útil são redirecionados para um site de notícias semelhante ao Windows hospedado em um dos seguintes domínios: argenferia[.]com; realvnc[.]pro; corporativocomf[.]on-line; cilrix-corp[.]pro; thecoopmodel[.]com; aplicativos wincp[.]conectados; aplicativo wireshark[.]online; cilrix-corporativo[.]online; aplicativo de espaço de trabalho[.]online.
A razão por trás do uso de um clone de um site legítimo é adicionar outra camada de confiança ao processo de infecção, já que os usuários estão familiarizados com sites de notícias de tecnologia que hospedam links para download de utilitários úteis. Clicar no botão “Baixar agora” resulta no recebimento de um instalador CPU-Z assinado digitalmente (arquivo MSI) contendo um script malicioso do PowerShell identificado como o carregador de malware “FakeBat”.
Assinar o arquivo com um certificado válido torna improvável que as ferramentas de segurança do Windows ou produtos antivírus de terceiros em execução no dispositivo avisem o usuário. O carregador busca uma carga útil do Redline Stealer de uma URL remota e a inicia no computador da vítima.
Malware Redline
Redline é um poderoso ladrão capaz de coletar senhas, cookies e dados de navegação de uma variedade de navegadores e aplicativos, bem como dados confidenciais de carteiras de criptomoedas. Para minimizar as chances de infecções por malware ao procurar ferramentas de software específicas, os usuários devem prestar atenção ao clicar nos resultados promovidos na Pesquisa Google e verificar se o site carregado e o domínio correspondem, ou usar um bloqueador de anúncios que os oculte automaticamente.