Operadores de ameaças rastreados como DEV-0569 vêm usando o Google Ads em campanhas publicitárias, amplas e contínuas, para distribuir malware, roubar senhas de vítimas e violar redes para ataques de ransomware. Nas últimas semanas, os pesquisadores de segurança cibernética da MalwareHunterTeam, Germán Fernández e Will Dormann, demonstraram como os resultados de pesquisa do Google se tornaram um autêntico “viveiro de anúncios maliciosos” para disseminar malware.
Os anúncios “fingem” ser sites de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR e VLC. Clicar nos anúncios leva os visitantes a sites que aparecem como portais de download ou réplicas dos sites legítimos do software. No entanto, quando ele clica nos links de download, geralmente baixa um arquivo MSI que instala vários malwares, dependendo da campanha. A lista de malwares instalados nessas campanhas até agora inclui o RedLine Stealer, Gozi/Ursnif, Vidar e, potencialmente, Cobalt Strike e ransomware.
Embora pareça haver muitos operadores de ameaças explorando a plataforma do Google Ads para distribuir malware, duas campanhas específicas se destacam, já que sua infraestrutura foi anteriormente associada a ataques de ransomware.
Em fevereiro do ano passado, a Mandiant descobriu uma campanha de distribuição de malware usando envenenamento de SEO para classificar sites que fingem ser softwares populares nos resultados de pesquisa. Se um usuário instalasse o software oferecido nessas páginas, ele executaria um novo downloader de malware chamado BatLoader, que inicia um processo de infecção em vários estágios que, por fim, fornece aos agentes de ameaças acesso inicial às redes das vítimas.
Mais tarde naquele ano, a Microsoft informou que os operadores de ameaças por trás do BatLoader, rastreados como DEV-0569, começaram a usar anúncios do Google para promover seus sites maliciosos. Pior ainda, a Microsoft disse que essas infecções levaram à implantação do Royal Ransomware em redes violadas.
“A atividade recente do agente de ameaças que a Microsoft rastreia como DEV-0569, conhecido por distribuir várias cargas úteis, levou à implantação do ransomware Royal, que surgiu pela primeira vez em setembro de 2022 e está sendo distribuído por vários agentes de ameaças”, alertou a Microsoft em seu relatório.
Os pesquisadores acreditam que o DEV-0569 é um agente de acesso inicial que usa seu sistema de distribuição de malware para violar redes corporativas. Ele usa esse acesso em seus próprios ataques ou o vende para outros hackers, como a gangue do ransomware Royal.
Embora a Microsoft não tenha compartilhado muitas URLs relacionados a esses ataques, outros relatórios de TheFIR e eSentire adicionaram mais informações, incluindo os seguintes URLs usados nas campanhas do BatLoader:
- bitbucket[.]org/ganhack123/load/downloads
- ads-check[.]com (usado para rastrear estatísticas de anúncios do Google)
Veja isso
Google vence processo contra operadores da botnet Glupteba
Adwares no Google Play e App Store: 13 milhões de downloads
Embora os hackers desta campanha não usem mais o BatLoader, como nas campanhas anteriores vistas pela Microsoft, eles instalam um ladrão de informações (RedLine Stealer) e, em seguida, um downloader de malware (Gozi/Ursnif). Na campanha atual, o RedLine é usado para roubar dados, como senhas, cookies e carteiras de criptomoedas, enquanto o Gozi/Ursnif é usado para baixar outros malwares.
Fernández descobriu que uma campanha de anúncios do Google diferente, mas semelhante, estava usando a infraestrutura usada anteriormente por um grupo de ameaças rastreado como TA505, conhecido por distribuir o ransomware CLOP. Nessa campanha de anúncios do Google, os operadores de ameaças distribuem malware por meio de sites que fingem ser softwares populares, como AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe e, estranhamente, sites de formulários W-9 IRS.Uma lista de domínios nesta campanha rastreada pelo CronUp está disponível nesta página do GitHub.