Salário anual de CISO de empresa global pode somar US$ 640 mil
Google aciona Justiça contra sites de downloads falsos do Bard
SAP corrige vulnerabilidade crítica no aplicativo Business One
EUA anunciam remoção de botnet e confissão de hacker
Microsoft lança patches para cinco bugs de dia zero
Principais portos australianos operam parcialmente após ataque
Gangue de ransomware LockBit vaza 43 GB de dados da Boeing
Uma nova campanha de malware que se apropria de anúncios falsos para aparecer nos primeiros resultados de buscas do Google, levando ao download de instaladores “trojanizados” em dispositivos. Instalador trojanizado é um tipo malware que tem por objetivo principal criar uma porta de acesso para que outros softwares maliciosos possam invadir um sistema.
De acordo com a equipe de pesquisa da empresa de soluções de detecção de ameaças da ESET os invasores criaram sites falsos com uma aparência idêntica ao Firefox, WhatsApp e Telegram, mas além de fornecer o software legítimo, eles também baixam o FatalRAT, um trojan de acesso remoto (RAT) que dá ao invasor o controle do computador comprometido.
A investigação da empresa descobriu que os invasores compraram anúncios para posicionar sites maliciosos na seção “patrocinado” dos resultados de pesquisa do Google. A ESET denunciou esses anúncios ao Google e os removeu imediatamente.
Os sites e instaladores baixados por meio desses sites são principalmente em chinês e, em alguns casos, oferecem versões de software falsas que não estão disponíveis na China. As vítimas observadas eram majoritariamente do sudeste e do leste asiático, o que sugere que os anúncios foram direcionados para essa região.
Os ataques foram observados entre o fim de 2022 e início deste ano, mas com base na telemetria da ESET, versões mais antigas de instaladores têm sido usadas, ao menos, desde maio de do último ano.
Nenhum dos malwares ou infraestrutura de rede usados nesta campanha foi associado a atividades conhecidas de qualquer grupo mencionado, portanto, por enquanto, essa atividade não foi atribuída a nenhum grupo conhecido. 
Os invasores registraram vários nomes de domínio que apontavam para o mesmo endereço IP  — um servidor que hospeda vários sites que baixam programas Trojanizados. Alguns desses sites são cópias idênticos dos legítimos, mas oferecem instaladores maliciosos. Os outros endereços web, possivelmente traduzidos pelos invasores, oferecem versões em chinês de software não disponíveis na China, como o Telegram.
Veja isso
Malware BatLoader usa anúncios do Google para instalar trojans
Anúncios do Google usados para phishing direcionado à AWS 
A ESET observou sites maliciosos e instaladores para os seguintes aplicativos:
“Embora, em teoria, existam muitas maneiras possíveis de direcionar as vítimas em potencial para esses sites falsos, um portal de notícias chinês informou que anúncios que levavam a um desses sites maliciosos estavam sendo exibidos quando pesquisavam ‘Firefox’ no Google. Não conseguimos reproduzir esses resultados de pesquisa, mas acreditamos que os anúncios foram exibidos apenas para usuários na região de destino. Denunciamos os sites ao Google e os anúncios foram removidos”, afirma a equipe de pesquisa da ESET.
O FatalRAT é um trojan de acesso remoto que foi documentado em agosto de 2021 pela AT&T Alien Labs. Este malware fornece aos atacantes um conjunto de funcionalidades que permite executar várias atividades maliciosas no computador da vítima. Por exemplo:
Os criminosos fizeram esforços para tornar os nomes de domínio de sites falsos o mais semelhantes possível aos nomes oficiais. Quanto aos instaladores de trojans, eles fazem o download do aplicativo real que o usuário estava procurando, evitando suspeitas de um possível comprometimento na máquina da vítima. 
“Por todas essas razões, vemos como é importante verificar cuidadosamente a URL que se está visitando antes de baixar o software. Recomenda-se que, depois de verificar se um site é real, digite-o diretamente na barra de endereços do navegador”, aconselha a equipe da ESET.
Como o malware usado nessa campanha contém vários comandos que permitem ao invasor manipular dados de diferentes navegadores, e que as informações das vítimas mostram que eles não parecem estar focados em um determinado tipo de usuário, qualquer um pode ser afetado.
De acordo com a ESET, é possível que os invasores só estejam interessados em roubar informações, como credenciais da web, para vendê-las em fóruns clandestinos, ou em usar essas informações para outro tipo de campanha maliciosa com fins econômicos, mas por enquanto a atribuição específica desta campanha a um ator de ameaça conhecido ou novo é impossível.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)

source