ClickCease MasquerAds: La campaña de malware que defrauda los anuncios de Google

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

MasquerAds: La campaña de malware que defrauda los anuncios de Google

por

10 de enero de 2023 - Equipo de RRPP de TuxCare

Según un informe de Guardio Labs, el malware "MasquerAds" se dirige a organizaciones, GPU y criptocarteras utilizando la plataforma de anuncios de Google para propagar malware a usuarios que buscan productos de software populares.

Se dice que los actores de la amenaza que operan el malware establecen una red de sitios falsos que se promocionan en los motores de búsqueda. Cuando los visitantes hacen clic en ellos, son redirigidos a una página de phishing que contiene un archivo ZIP troyanizado alojado en Dropbox o OneDrive.

A continuación, los actores de la amenaza registran los nombres de dominio typosquatted con URL que difieren al menos en una letra de la marca original. Cuando los usuarios hacen clic en un MasquerAd, son conducidos a un sitio de phishing con un enlace de descarga del software malicioso, que suele ser Racoon Stealer o Vidar.

A continuación, inflige ataques letales aprovechando el alcance y la credibilidad de Google y de conocidas empresas de software. También hace uso de servicios de intercambio de archivos de buena reputación como Dropbox para distribuir el malware malicioso. Se hace pasar por software legítimo como AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack, Zoom, Audacity, OBS, Libre Office, Teamviewer, Thunderbird, Brave y otros.

Mientras tanto, Guardio Labs atribuye gran parte de la actividad a un actor de amenazas conocido como Vermux, señalando que el adversario "abusa de una vasta lista de marcas y continúa evolucionando."

Nati Tal, de Guardio Labs, puso el ejemplo de un usuario que busca el programa Grammarly. Cuando un usuario busca "grammarly", afirma que puede ser dirigido a una URL que difiere de la original en una sola letra. En este caso, "gramm-arly.com". Este sitio parece ser el sitio web oficial de Grammarly, lo que lleva a los usuarios a creer que es el auténtico.

Los visitantes son dirigidos a un sitio web legítimo: Christian Heating and Air Conditioning. Cuando el usuario hace clic en el enlace, el servidor lo redirige al sitio de phishing con un nuevo nombre, pero todo lo que se descarga desde el sitio de suplantación contiene malware. Google no detecta el sitio de phishing porque la redirección se produce en el lado del servidor.

Además, el objetivo que descargue Grammarly desde el sitio de phishing recibirá la versión legítima de Grammarly. Sin embargo, viene con un archivo ejecutable que causa daño entre bastidores. Dicho malware está m hinchado con cero archivos para superar los 500 MB de tamaño. Además, menos del 1% del código está contaminado con fragmentos maliciosos. Como resultado, puede volar bajo el radar de la mayoría de las herramientas de detección. MasquerAds cambiará entonces el malware de su carga útil de forma regular, cambiando de proveedor sin afectar al archivo descargable Grammarly.exe.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen
MasquerAds: La campaña de malware que defrauda los anuncios de Google
Nombre del artículo
MasquerAds: La campaña de malware que defrauda los anuncios de Google
Descripción
Según un informe de Guardio Labs, el malware "MasquerAds" se dirige a organizaciones, GPU y criptocarteras utilizando la plataforma de anuncios de Google.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.