MasquerAds : La campagne de logiciels malveillants qui fraudent les publicités Google
Selon un rapport de Guardio Labs, le logiciel malveillant "MasquerAds" cible les organisations, les GPU et les portefeuilles de crypto-monnaies en utilisant la plateforme Google Ads pour diffuser des logiciels malveillants aux utilisateurs qui recherchent des logiciels populaires.
Les acteurs de la menace qui exploitent le malware mettraient en place un réseau de faux sites qui sont promus sur les moteurs de recherche. Lorsque les visiteurs cliquent dessus, ils sont redirigés vers une page de phishing contenant une archive ZIP trojanisée hébergée sur Dropbox ou OneDrive.
Les acteurs de la menace enregistrent ensuite les noms de domaine typosquattés avec des URL qui diffèrent d'au moins une lettre de la marque originale. Lorsque les utilisateurs cliquent sur une MasquerAd, ils sont dirigés vers un site de phishing contenant un lien de téléchargement vers le logiciel malveillant, qui est généralement Racoon Stealer ou Vidar.
Il inflige ensuite des attaques mortelles en tirant parti de la portée et de la crédibilité de Google et de sociétés de logiciels bien connues. Il utilise également des services de partage de fichiers réputés tels que Dropbox pour distribuer les logiciels malveillants. Il se fait passer pour un logiciel légitime tel que AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack, Zoom, Audacity, OBS, Libre Office, Teamviewer, Thunderbird, Brave, etc.
Pendant ce temps, Guardio Labs attribue une grande partie de l'activité à un acteur de la menace connu sous le nom de Vermux, notant que l'adversaire "abuse d'une vaste liste de marques et continue d'évoluer."
Nati Tal, de Guardio Labs, a pris l'exemple d'un utilisateur qui recherche le logiciel Grammarly. Lorsqu'un utilisateur recherche "grammarly", il affirme qu'il peut être dirigé vers une URL qui ne diffère de l'original que par une lettre. Dans ce cas, "gramm-arly.com". Ce site semble être le site officiel de Grammarly, ce qui amène les utilisateurs à croire qu'il s'agit d'un vrai logiciel.
Les visiteurs sont ensuite dirigés vers un site Web légitime : Christian Heating and Air Conditioning. Lorsque l'utilisateur clique sur le lien, le serveur le redirige vers le site de phishing avec un nouveau nom, mais tout ce qui est téléchargé depuis le site d'usurpation d'identité contient des logiciels malveillants. Google ne détecte pas le site de phishing car la redirection se fait du côté du serveur.
En outre, une cible qui télécharge Grammarly à partir du site de phishing recevra la version légitime de Grammarly. Cependant, elle est accompagnée d'un fichier exécutable qui cause des dommages en coulisse. Le dit malware est gonflé de zéro fichier pour dépasser les 500 Mo de taille. En outre, moins de 1 % du code est entaché de fragments malveillants. Par conséquent, il peut passer sous le radar de la plupart des outils de détection. MasquerAds change ensuite régulièrement de malware dans sa charge utile, en changeant de fournisseur sans affecter le fichier Grammarly.exe téléchargeable.
Les sources de cet article comprennent un article de TheHackerNews.