Han surgido detalles sobre una campaña de publicidad maliciosa que aprovecha los anuncios de Google para dirigir a los usuarios que buscan software popular a páginas de destino ficticias y distribuir payloads de etapa siguiente.
Malwarebytes, que descubrió la actividad, dijo que es "única en su forma de identificar a los usuarios y distribuir payloads sensibles al tiempo".
El ataque selecciona a los usuarios que buscan Notepad++ y convertidores de PDF para mostrar anuncios falsos en la página de resultados de búsqueda de Google que, al hacer clic, filtran los bots y otras direcciones IP no deseadas mostrando un sitio señuelo.
Si se considera que el visitante es de interés para el hacker, la víctima es redirigida a un sitio web de réplica que anuncia el software, al tiempo que se toman huellas digitales silenciosas del sistema para determinar si la solicitud se origina en una máquina virtual.
El malware de la etapa final es una payload HTA que establece una conexión con un dominio remoto ("mybigeye[.]icu") en un puerto personalizado y sirve malware de seguimiento.
"Los actores de amenazas están aplicando con éxito técnicas de evasión que eluden las comprobaciones de verificación de anuncios y les permiten dirigirse a determinados tipos de víctimas", afirmó Jérôme Segura, director de inteligencia de amenazas.
"Con una cadena de entrega de malware fiable en la mano, los actores maliciosos pueden centrarse en mejorar sus páginas señuelo y elaborar payloads de malware personalizadas".
La revelación coincide con una campaña similar que se dirige a los usuarios que buscan el gestor de contraseñas KeePass con anuncios maliciosos que dirigen a las víctimas a un dominio que utiliza Punycode (keepass[.]info vs ?eepass[.]info), una codificación especial utilizada para convertir caracteres Unicode a ASCII.
"Las personas que hagan clic en el anuncio serán redirigidas a través de un servicio de camuflaje destinado a filtrar sandboxes, bots y cualquier persona que no se considere una víctima real", señala Segura. "Los hackers han creado un dominio temporal en keepasstacking[.]site que realiza la redirección condicional al destino final".
Los usuarios que acceden al sitio señuelo son engañados para que descarguen un instalador malicioso que, en última instancia, conduce a la ejecución de FakeBat (también conocido como EugenLoader), un payload diseñado para descargar otros códigos maliciosos.
El abuso de Punycode no es totalmente nuevo, pero combinarlo con anuncios falsos de Google es una señal de que la publicidad maliciosa a través de los motores de búsqueda es cada vez más sofisticada. Al emplear Punycode para registrar nombres de dominio similares a los de sitios legítimos, el objetivo es llevar a cabo un ataque homógrafo y atraer a las víctimas para que instalen malware.
"Aunque los hackers llevan años utilizando Punycode con nombres de dominio internacionalizados para suplantar a sus víctimas, esto demuestra lo eficaz que sigue siendo en el contexto de la suplantación de marcas a través de la publicidad maliciosa", afirma Segura.
Hablando de engaños visuales, se han observado múltiples hackers - TA569 (alias SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake y EtherHiding - que aprovechan temas relacionados con falsas actualizaciones del navegador para propagar Cobalt Strike, payloads, robadores y troyanos de acceso remoto, una señal de que estos ataques son una amenaza constante y en evolución.
"Las falsas actualizaciones del navegador abusan de la confianza del usuario final con sitios web comprometidos y un señuelo personalizado en el navegador del usuario para legitimar la actualización y engañar a los usuarios para que hagan clic", afirmó Dusty Miller, investigador de Proofpoint, en un análisis publicado esta semana.
"La amenaza sólo está en el navegador y puede iniciarse haciendo clic desde un correo electrónico legítimo y esperado, un sitio de redes sociales, una consulta en un motor de búsqueda o incluso simplemente navegando al sitio comprometido".
Fuente: thehackernews