Publicidade

Anúncios falsos no Google usam softwares como porta de entrada para ransomware

Por| Editado por Claudio Yuge | 25 de Janeiro de 2023 às 17h30

Link copiado!

Garakta-Studio/envato
Garakta-Studio/envato
Tudo sobre Google

Aplicações como WinRAR, 7-Zip, LibreOffice, VLC, Rufus, FileZilla e tantas outras estão sendo usadas como as iscas de uma campanha de contaminação em massa com malware. Anúncios fraudulentos que simulam a aparência dos sites oficiais das soluções de código aberto são veiculados pelos criminosos no Google, como forma de criar portas de entrada que, mais tarde, são vendidas a criminosos que atuam com ataques de ransomware.

A ideia é ludibriar os usuários com o destaque dado aos comerciais, que aparecem acima dos resultados legítimos durante buscas no Google. Trata-se, também, de um vetor de contaminação já conhecido, mas que ganhou contornos mais graves quando foi ligado por especialistas a gangues de ameaça persistente, que vendem acesso a dispositivos e redes para golpes de sequestro digital.

De acordo com o time de inteligência de ameaças do MalwareHunterTeam, uma destas quadrilhas é a DEV-0569, que vem sendo citada em alertas desde novembro do ano passado. O grupo usa sites com domínios falsos, mas semelhantes aos reais, assim como páginas copiadas dos desenvolvedores para entregar malwares como o RedLine Stealer, Gozi, Vidar, Cobalt Strike e outros.

Continua após a publicidade

Além de firmarem portas de entrada nos sistemas infectados, as pragas também podem ser usadas para o roubo de dados pessoais, financeiros ou credenciais de acesso a serviços. Uma vez detectada a presença de uma rede corporativa e governamental entre os alvos, a abertura também pode ser vendida a gangues interessadas em praticar o sequestro de informações — casos já foram registrados com o uso do ransomware Royal contra empresas internacionais.

Os especialistas apontam com curiosidade o fato de o BatLoader, uma praga capaz de baixar outros vírus e desenvolvida pelo DEV-0569, não estar entre as contaminações. Seria uma forma de ocultar a própria identidade, indicam os pesquisadores, mas também uma demonstração de campanhas ofensivas em evolução, ainda que utilizem infraestruturas, domínios e servidores semelhantes aos localizados em campanhas que datam desde setembro de 2022.

Continua após a publicidade

Enquanto firmar um número exato de vítimas parece difícil, uma vez que os bandidos tomam medidas para esconder os próprios rastros, os pesquisadores apontam uma taxa de mais de 60 mil dispositivos contaminados por dia como parte da campanha. Além das informações pessoais e da abertura de acessos para ransomware, carteiras de criptomoedas também seriam parte do foco dos bandidos.

Softwares de código aberto e sistemas corporativos na mira

Uma segunda campanha, também descoberta pelos membros do MalwareHunterTeam, parece estar mais focada em aplicações de produtividade, com softwares de acesso remoto, suítes de aplicativos e até documentos fiscais. Os anúncios patrocinados da vez seriam de autoria de uma quadrilha chamada TA505, por trás do conhecido ransomware CLOP.

Nos levantamentos de todas as campanhas de ataques encontradas, os seguintes softwares estão sendo usados como iscas para contaminação:

Continua após a publicidade
  • Rufus;
  • LightShot;
  • 7-Zip;
  • WinRAR;
  • FileZilla;
  • LibreOffice;
  • AnyDesk;
  • VLC;
  • Awesome Miner;
  • TradingView;
  • Archiver;
  • TeamViewer;
  • Microsoft Teams;
  • Apps Adobe;
  • Slack.

Em comentário sobre uma campanha parecida, divulgada na última semana, o Google afirmou ter políticas robustas para evitar que anúncios fraudulentos assumam a identidade de plataformas ou serviços reais. A empresa disse que os anúncios fraudulentos identificados, em nome dos softwares citados, já foram retirados do ar.

A recomendação é de cautela no download de aplicativos, evitando propagandas e garantindo que o site acessado pertence ao desenvolvedor oficial. Lojas de aplicativos e marketplaces reconhecidos são bons caminhos para garantir a instalação de softwares legítimos, enquanto a atenção a domínios e arquivos baixados ajuda a evitar ataques desse tipo.

Fonte: Bleeping Computer