Cibercriminosos usando um agente de ameaça rastreado como DEV-0569 estão usando o Google Ads em campanhas publicitárias para distribuir malware, roubar senhas de vítimas e violar redes para ataques de ransomware.
Distribuição de malware via Google Ads
Pesquisadores de segurança cibernética MalwareHunterTeam, Germán Fernández e Will Dormann ilustraram como os resultados de pesquisa do Google se tornaram um ambinete de anúncios maliciosos que promovem malware.
De acordo com os pesquisadores, esses anúncios fingem ser sites de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR e VLC.
Quando uma vítima clica nos anúncios, eles são levados a sites que aparecem como portais de download ou réplicas dos sites legítimos do software. No entanto, quando você clica nos links de download, geralmente baixa um arquivo MSI que instala vários malwares, dependendo da campanha.
A lista de malwares instalados nessas campanhas até agora inclui RedLine Stealer, Gozi/Ursnif, Vidar e, potencialmente, Cobalt Strike e ransomware, aponta o Bleeping Computer.
De anúncios do Google a ataques de ransomware
Em fevereiro de 2022, a Mandiant descobriu uma campanha de distribuição de malware usando envenenamento de SEO para classificar sites que fingem ser softwares populares nos resultados de pesquisa. Se um usuário instalasse o software oferecido nessas páginas, ele executaria um novo downloader de malware chamado BatLoader, que inicia um processo de infecção em vários estágios com acesso inicial às redes das vítimas.
Os pesquisadores acreditam que o DEV-0569 é um agente de acesso inicial que usa seu sistema de distribuição de malware para violar redes corporativas.
O pesquisador CronUp, Germán Fernández, observou que anúncios recentes do Google promovendo software popular levaram a sites maliciosos utilizando infraestrutura operada pelos agentes de ameaça DEV-0569.
Embora os instaladores mal-intencionados nesta campanha não usem mais o BatLoader, como nas campanhas anteriores vistas pela Microsoft, eles instalam um ladrão de informações (RedLine Stealer) e, em seguida, um downloader de malware (Gozi/Ursnif).
Outra campanha vinculada ao ransomware CLOP
Para piorar a situação, Fernández descobriu que uma campanha de anúncios do Google diferente, mas semelhante, estava usando a infraestrutura usada anteriormente por um grupo de ameaças rastreado como TA505, conhecido por distribuir o ransomware CLOP.
Nesta campanha de anúncios do Google, os agentes de ameaças distribuem malware por meio de sites que fingem ser softwares populares, como AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe e, estranhamente, sites de formulários W-9 IRS.
Felizmente, o Google está removendo os anúncios à medida que são relatados e detectados. A má notícia é que os agentes de ameaças estão constantemente lançando novas campanhas publicitárias e novos sites, tornando-se um jogo gigante de golpes, e não parece que o Google esteja ganhando.