Agência espacial japonesa JAXA é alvo de ataque cibernético
Apple corrige bugs de dia zero em iPads e Macs que roubam dados
Medidas contra golpes pelo 0800 são insuficientes, diz analista
Cinco grupos de ransomware dominaram na AL neste ano
Google corrige 6º dia zero de alta gravidade no Chrome neste ano
Black Basta faturou mais de US$ 100 milhões com extorsões
EUA e Reino Unido criam guia de desenvolvimento seguro de IA
Operadores de ameaças rastreados como DEV-0569 vêm usando o Google Ads em campanhas publicitárias, amplas e contínuas, para distribuir malware, roubar senhas de vítimas e violar redes para ataques de ransomware. Nas últimas semanas, os pesquisadores de segurança cibernética da MalwareHunterTeam, Germán Fernández e Will Dormann, demonstraram como os resultados de pesquisa do Google se tornaram um autêntico “viveiro de anúncios maliciosos” para disseminar malware.
Os anúncios “fingem” ser sites de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR e VLC. Clicar nos anúncios leva os visitantes a sites que aparecem como portais de download ou réplicas dos sites legítimos do software. No entanto, quando ele clica nos links de download, geralmente baixa um arquivo MSI que instala vários malwares, dependendo da campanha. A lista de malwares instalados nessas campanhas até agora inclui o RedLine Stealer, Gozi/Ursnif, Vidar e, potencialmente, Cobalt Strike e ransomware.
Embora pareça haver muitos operadores de ameaças explorando a plataforma do Google Ads para distribuir malware, duas campanhas específicas se destacam, já que sua infraestrutura foi anteriormente associada a ataques de ransomware.
Em fevereiro do ano passado, a Mandiant descobriu uma campanha de distribuição de malware usando envenenamento de SEO para classificar sites que fingem ser softwares populares nos resultados de pesquisa. Se um usuário instalasse o software oferecido nessas páginas, ele executaria um novo downloader de malware chamado BatLoader, que inicia um processo de infecção em vários estágios que, por fim, fornece aos agentes de ameaças acesso inicial às redes das vítimas.
Mais tarde naquele ano, a Microsoft informou que os operadores de ameaças por trás do BatLoader, rastreados como DEV-0569, começaram a usar anúncios do Google para promover seus sites maliciosos. Pior ainda, a Microsoft disse que essas infecções levaram à implantação do Royal Ransomware em redes violadas.
“A atividade recente do agente de ameaças que a Microsoft rastreia como DEV-0569, conhecido por distribuir várias cargas úteis, levou à implantação do ransomware Royal, que surgiu pela primeira vez em setembro de 2022 e está sendo distribuído por vários agentes de ameaças”, alertou a Microsoft em seu relatório.
Os pesquisadores acreditam que o DEV-0569 é um agente de acesso inicial que usa seu sistema de distribuição de malware para violar redes corporativas. Ele usa esse acesso em seus próprios ataques ou o vende para outros hackers, como a gangue do ransomware Royal.
Embora a Microsoft não tenha compartilhado muitas URLs relacionados a esses ataques, outros relatórios de TheFIR e eSentire adicionaram mais informações, incluindo os seguintes URLs usados nas campanhas do BatLoader:
Veja isso
Google vence processo contra operadores da botnet Glupteba
Adwares no Google Play e App Store: 13 milhões de downloads
Embora os hackers desta campanha não usem mais o BatLoader, como nas campanhas anteriores vistas pela Microsoft, eles instalam um ladrão de informações (RedLine Stealer) e, em seguida, um downloader de malware (Gozi/Ursnif). Na campanha atual, o RedLine é usado para roubar dados, como senhas, cookies e carteiras de criptomoedas, enquanto o Gozi/Ursnif é usado para baixar outros malwares.
Fernández descobriu que uma campanha de anúncios do Google diferente, mas semelhante, estava usando a infraestrutura usada anteriormente por um grupo de ameaças rastreado como TA505, conhecido por distribuir o ransomware CLOP. Nessa campanha de anúncios do Google, os operadores de ameaças distribuem malware por meio de sites que fingem ser softwares populares, como AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe e, estranhamente, sites de formulários W-9 IRS.Uma lista de domínios nesta campanha rastreada pelo CronUp está disponível nesta página do GitHub.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)

source