“Reportamos esta campanha ao Google, mas nenhuma ação foi tomada ainda”, compartilhou o pesquisador da Malwarebytes, Jérôme Segura .
Anúncios maliciosos veiculados pelo Google , Bing ou outros sites respeitáveis exibem RATs, infostealers, carregadores e outros malwares que geralmente se disfarçam de software legítimo.
Nesta última campanha, pesquisar por “Putty” ou FileZilla” na Pesquisa Google retorna anúncios patrocinados no topo dos resultados de pesquisa, que apontam para páginas de cloaking e, em seguida, para sites enganosos se o servidor detectar tráfego de bot ou rastreador ou possíveis visitas por segurança pesquisadores.
Se o tráfego parecer vir de uma vítima em potencial, eles serão redirecionados para sites imitadores que se fazem passar por sites legítimos desses projetos de software. Se a vítima baixar o software oferecido, ela receberá o malware Nitrogen.
“O nitrogênio é usado por agentes de ameaças para obter acesso inicial a redes privadas, seguido de roubo de dados e implantação de ransomware como BlackCat/ALPHV”, explica Segura.
“A etapa final nesta cadeia de malvertising consiste em baixar e executar a carga útil do malware. O Nitrogen usa uma técnica conhecida como sideload de DLL, em que um executável legítimo e assinado inicia uma DLL.”
A malvertising tornou-se uma ameaça tão generalizada que novas campanhas são sinalizadas todos os dias.
O facto de campanhas de malvertising quase idênticas que fornecem nitrogénio a profissionais de TI terem sido repetidamente detectadas no último ano é uma prova da sua eficácia, bem como da resposta ineficaz dos motores de busca ao problema da malvertising.
“Embora existam muitas simulações de treinamento de phishing para ameaças por e-mail, não temos conhecimento de treinamentos semelhantes para malvertising. No entanto, a ameaça tornou-se suficientemente prevalente para garantir uma melhor educação do utilizador”, destacou Segura.
“Os endpoints podem ser protegidos contra anúncios maliciosos por meio de políticas de grupo que restringem o tráfego proveniente das redes de anúncios principais e menos conhecidas.”
Por: Zeljka Zorz, editora-chefe, Help Net Securit
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…