Campanha direciona resultados de buscas para anúncios falsos com instaladores trojanizados, que são usados para implantar o malware FatalRAT
Uma nova campanha de malware que se apropria de anúncios falsos para aparecer nos primeiros resultados de buscas do Google, levando ao download de instaladores “trojanizados” em dispositivos. Instalador trojanizado é um tipo malware que tem por objetivo principal criar uma porta de acesso para que outros softwares maliciosos possam invadir um sistema.
De acordo com a equipe de pesquisa da empresa de soluções de detecção de ameaças da ESET os invasores criaram sites falsos com uma aparência idêntica ao Firefox, WhatsApp e Telegram, mas além de fornecer o software legítimo, eles também baixam o FatalRAT, um trojan de acesso remoto (RAT) que dá ao invasor o controle do computador comprometido.
A investigação da empresa descobriu que os invasores compraram anúncios para posicionar sites maliciosos na seção “patrocinado” dos resultados de pesquisa do Google. A ESET denunciou esses anúncios ao Google e os removeu imediatamente.
Os sites e instaladores baixados por meio desses sites são principalmente em chinês e, em alguns casos, oferecem versões de software falsas que não estão disponíveis na China. As vítimas observadas eram majoritariamente do sudeste e do leste asiático, o que sugere que os anúncios foram direcionados para essa região.
Os ataques foram observados entre o fim de 2022 e início deste ano, mas com base na telemetria da ESET, versões mais antigas de instaladores têm sido usadas, ao menos, desde maio de do último ano.
Nenhum dos malwares ou infraestrutura de rede usados nesta campanha foi associado a atividades conhecidas de qualquer grupo mencionado, portanto, por enquanto, essa atividade não foi atribuída a nenhum grupo conhecido.
Resumo do ataque
Os invasores registraram vários nomes de domínio que apontavam para o mesmo endereço IP — um servidor que hospeda vários sites que baixam programas Trojanizados. Alguns desses sites são cópias idênticos dos legítimos, mas oferecem instaladores maliciosos. Os outros endereços web, possivelmente traduzidos pelos invasores, oferecem versões em chinês de software não disponíveis na China, como o Telegram.
Site falso do Telegram que baixa malware FatalRAT
A ESET observou sites maliciosos e instaladores para os seguintes aplicativos:
- Chrome
- Firefox
- Telegram
- Line
- Signal
- Skype
- Carteira Bitcoin Electrum
- Sogou Pinyin Method
- Youdao, um aplicativo de tradução e dicionário
- WPS Office, uma suíte office gratuita
“Embora, em teoria, existam muitas maneiras possíveis de direcionar as vítimas em potencial para esses sites falsos, um portal de notícias chinês informou que anúncios que levavam a um desses sites maliciosos estavam sendo exibidos quando pesquisavam ‘Firefox’ no Google. Não conseguimos reproduzir esses resultados de pesquisa, mas acreditamos que os anúncios foram exibidos apenas para usuários na região de destino. Denunciamos os sites ao Google e os anúncios foram removidos”, afirma a equipe de pesquisa da ESET.
Resultados da pesquisa por “Firefox” com o aparecimento de um site falso entre os anúncios (Imagem: landiannews)
O FatalRAT é um trojan de acesso remoto que foi documentado em agosto de 2021 pela AT&T Alien Labs. Este malware fornece aos atacantes um conjunto de funcionalidades que permite executar várias atividades maliciosas no computador da vítima. Por exemplo:
- Registrar pressionamentos de tecla;
- Alterar a resolução da tela da vítima;
- Encerre os processos do navegador e roube ou exclua os dados armazenados neles. Os navegadores de destino são:
- Chrome
- Firefox
- Sogou Explorer
- Baixar e executar um arquivo;
- Executar comandos do Shell;
Os criminosos fizeram esforços para tornar os nomes de domínio de sites falsos o mais semelhantes possível aos nomes oficiais. Quanto aos instaladores de trojans, eles fazem o download do aplicativo real que o usuário estava procurando, evitando suspeitas de um possível comprometimento na máquina da vítima.
“Por todas essas razões, vemos como é importante verificar cuidadosamente a URL que se está visitando antes de baixar o software. Recomenda-se que, depois de verificar se um site é real, digite-o diretamente na barra de endereços do navegador”, aconselha a equipe da ESET.
Como o malware usado nessa campanha contém vários comandos que permitem ao invasor manipular dados de diferentes navegadores, e que as informações das vítimas mostram que eles não parecem estar focados em um determinado tipo de usuário, qualquer um pode ser afetado.
De acordo com a ESET, é possível que os invasores só estejam interessados em roubar informações, como credenciais da web, para vendê-las em fóruns clandestinos, ou em usar essas informações para outro tipo de campanha maliciosa com fins econômicos, mas por enquanto a atribuição específica desta campanha a um ator de ameaça conhecido ou novo é impossível.
Fonte:
https://www.cisoadvisor.com.br/anuncios-do-google-sao-usados-para-distribuir-malware/