Um ator de ameaça tem abusado do Google Ads para distribuir uma versão trojanizada da ferramenta CPU-Z para entregar o malware de roubo de informações Redline.
A nova campanha foi detectada por analistas da Malwarebytes que, com base na infraestrutura de apoio, avaliam que ela faz parte da mesma operação que usou malvertising do Notepad++ para entregar cargas maliciosas.
Detalhes da campanha
O anúncio malicioso do Google para o CPU-Z trojanizado, uma ferramenta que cria perfis de hardware de computador no Windows, está hospedado em uma cópia clonada do site legítimo de notícias do Windows, WindowsReport.
CPU-Z é um utilitário gratuito popular que pode ajudar os usuários a monitorar diferentes componentes de hardware, desde velocidades de ventiladores até taxas de clock da CPU, voltagem e detalhes de cache.
O anúncio malicioso do Google (Malwarebytes)
Clicar no anúncio leva a vítima a uma etapa de redirecionamento que engana os rastreadores antiabuso do Google, enviando visitantes inválidos para um site inócuo.
Aqueles considerados válidos para receber a carga útil são redirecionados para um site de notícias semelhante ao Windows hospedado em um dos seguintes domínios:
argenferia[.]com
realvnc[.]pro
corporativocomf[.]on-line
cilrix-corp[.]pro
thecoopmodel[.]com
aplicativos wincp[.]conectados
aplicativo wireshark[.]online
cilrix-corporativo[.]online
aplicativo de espaço de trabalho[.]online
Etapas de redirecionamento (Malwarebytes)
A razão por trás do uso de um clone de um site legítimo é adicionar outra camada de confiança ao processo de infecção, já que os usuários estão familiarizados com sites de notícias de tecnologia que hospedam links para download de utilitários úteis.
Comparação entre o site real e o falso (Malwarebytes)
Clicar no botão ‘Baixar agora’ resulta no recebimento de um instalador CPU-Z assinado digitalmente (arquivo MSI) contendo um script malicioso do PowerShell identificado como o carregador de malware ‘FakeBat’.
Arquivo do instalador assinado digitalmente (Malwarebytes)
Assinar o arquivo com um certificado válido torna improvável que as ferramentas de segurança do Windows ou produtos antivírus de terceiros em execução no dispositivo emitam um aviso ao usuário.
O carregador busca uma carga útil do Redline Stealer de um URL remoto e a inicia no computador da vítima.
PowerShell baixando a carga final no host (Malwarebytes)
Redline é um poderoso ladrão capaz de coletar senhas, cookies e dados de navegação de uma variedade de navegadores e aplicativos, bem como dados confidenciais de carteiras de criptomoedas.
Para minimizar as chances de infecções por malware ao procurar ferramentas de software específicas, os usuários devem prestar atenção ao clicar nos resultados promovidos na Pesquisa Google e verificar se o site carregado e o domínio correspondem, ou usar um bloqueador de anúncios que os oculte automaticamente.
Atualização 10/11 - Um porta-voz do Google enviou ao BleepingComputer o seguinte comentário sobre a campanha de malvertising acima habilitada pelo Google Ads:
Não permitimos anúncios em nossa plataforma que contenham software malicioso. Removemos os anúncios em questão que violavam nossas políticas e tomamos as medidas adequadas contra as contas associadas.
Continuamos a ver maus atores operarem com mais sofisticação e em maior escala, usando uma variedade de táticas para escapar à nossa detecção.
Investimos pesadamente em nossos esforços de segurança de anúncios e temos uma equipe dedicada trabalhando 24 horas por dia para aplicar nossas políticas em grande escala.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/google-ads-push-malicious-cpu-z-app-from-fake-windows-news-site/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #anúncios #do #google #enviam #aplicativo #cpuz #malicioso #de #site #falso #de #notícias #do #windows
Postar um comentário