MasquerAds: La campaña de malware que defrauda los anuncios de Google
Según un informe de Guardio Labs, el malware "MasquerAds" se dirige a organizaciones, GPU y criptocarteras utilizando la plataforma de anuncios de Google para propagar malware a usuarios que buscan productos de software populares.
Se dice que los actores de la amenaza que operan el malware establecen una red de sitios falsos que se promocionan en los motores de búsqueda. Cuando los visitantes hacen clic en ellos, son redirigidos a una página de phishing que contiene un archivo ZIP troyanizado alojado en Dropbox o OneDrive.
A continuación, los actores de la amenaza registran los nombres de dominio typosquatted con URL que difieren al menos en una letra de la marca original. Cuando los usuarios hacen clic en un MasquerAd, son conducidos a un sitio de phishing con un enlace de descarga del software malicioso, que suele ser Racoon Stealer o Vidar.
A continuación, inflige ataques letales aprovechando el alcance y la credibilidad de Google y de conocidas empresas de software. También hace uso de servicios de intercambio de archivos de buena reputación como Dropbox para distribuir el malware malicioso. Se hace pasar por software legítimo como AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack, Zoom, Audacity, OBS, Libre Office, Teamviewer, Thunderbird, Brave y otros.
Mientras tanto, Guardio Labs atribuye gran parte de la actividad a un actor de amenazas conocido como Vermux, señalando que el adversario "abusa de una vasta lista de marcas y continúa evolucionando."
Nati Tal, de Guardio Labs, puso el ejemplo de un usuario que busca el programa Grammarly. Cuando un usuario busca "grammarly", afirma que puede ser dirigido a una URL que difiere de la original en una sola letra. En este caso, "gramm-arly.com". Este sitio parece ser el sitio web oficial de Grammarly, lo que lleva a los usuarios a creer que es el auténtico.
Los visitantes son dirigidos a un sitio web legítimo: Christian Heating and Air Conditioning. Cuando el usuario hace clic en el enlace, el servidor lo redirige al sitio de phishing con un nuevo nombre, pero todo lo que se descarga desde el sitio de suplantación contiene malware. Google no detecta el sitio de phishing porque la redirección se produce en el lado del servidor.
Además, el objetivo que descargue Grammarly desde el sitio de phishing recibirá la versión legítima de Grammarly. Sin embargo, viene con un archivo ejecutable que causa daño entre bastidores. Dicho malware está m hinchado con cero archivos para superar los 500 MB de tamaño. Además, menos del 1% del código está contaminado con fragmentos maliciosos. Como resultado, puede volar bajo el radar de la mayoría de las herramientas de detección. MasquerAds cambiará entonces el malware de su carga útil de forma regular, cambiando de proveedor sin afectar al archivo descargable Grammarly.exe.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.