Se ha descubierto que una nueva campaña de publicidad maliciosa emplea sitios falsos que se hacen pasar por un portal legítimo de noticias de Windows para propagar un instalador malicioso de una popular herramienta de creación de perfiles del sistema llamada CPU-Z.
«Este incidente es parte de una campaña de publicidad maliciosa más amplia que apunta a otras utilidades como Notepad++, Citrix y VNC Viewer, como se ve en su infraestructura (nombres de dominio) y plantillas de encubrimiento utilizadas para evitar la detección», dijo Jérôme Segura de Malwarebytes .
Si bien se sabe que las campañas de publicidad maliciosa crean sitios réplica que anuncian software ampliamente utilizado, la última actividad marca una desviación en el sentido de que el sitio web imita a WindowsReport[.]com.
El objetivo es engañar a los usuarios desprevenidos que buscan CPU-Z en motores de búsqueda como Google publicando anuncios maliciosos que, al hacer clic en ellos, los redireccionan al portal falso (workspace-app[.]online).
Al mismo tiempo, los usuarios que no son las víctimas previstas de la campaña reciben un blog inocuo con diferentes artículos, una técnica conocida como encubrimiento.
El instalador MSI firmado que está alojado en el sitio web fraudulento contiene un script de PowerShell malicioso, un cargador conocido como FakeBat (también conocido como EugenLoader), que sirve como conducto para implementar RedLine Stealer en el host comprometido.
«Es posible que el actor de la amenaza haya elegido crear un sitio señuelo parecido a Windows Report porque muchas utilidades de software a menudo se descargan desde dichos portales en lugar de desde su página web oficial», señaló Segura.
Esta no es la primera vez que los anuncios engañosos de Google para software popular resultan ser un vector de distribución de malware. La semana pasada, la empresa de ciberseguridad eSentire reveló detalles de una campaña actualizada de Nitrogen que allana el camino para un ataque de ransomware BlackCat.
Otras dos campañas documentadas por la firma canadiense de ciberseguridad muestran que el método de descarga automática para dirigir a los usuarios a sitios web dudosos se ha aprovechado para propagar varias familias de malware como NetWire RAT , DarkGate y DanaBot en los últimos meses.
El desarrollo se produce cuando los actores de amenazas continúan confiando cada vez más en kits de phishing de adversario en el medio ( AiTM ), como NakedPages , Strox y DadSec para eludir la autenticación multifactor y secuestrar cuentas específicas.
Para colmo, eSentire también llamó la atención sobre un nuevo método denominado ataque Wiki-Slack, un ataque dirigido al usuario que tiene como objetivo llevar a las víctimas a un sitio web controlado por el atacante desfigurando el final del primer párrafo de un artículo de Wikipedia y compartiendo en Slack.
Específicamente, explota una peculiaridad en Slack que «maneja mal el espacio en blanco entre el primer y segundo párrafo» para generar automáticamente un enlace cuando la URL de Wikipedia se presenta como una vista previa en la plataforma de mensajería empresarial.
Vale la pena señalar que un requisito previo clave para llevar a cabo este ataque es que la primera palabra del segundo párrafo del artículo de Wikipedia debe ser un dominio de nivel superior (por ejemplo, in, at, com o net) y que los dos párrafos debe aparecer dentro de las primeras 100 palabras del artículo.
Con estas restricciones, una amenaza podría convertir este comportamiento en un arma, de modo que la forma en que Slack formatea los resultados de vista previa de la página compartida apunte a un enlace malicioso que, al hacer clic, lleva a la víctima a un sitio con trampas explosivas.
«Si uno no tiene barreras éticas, puede aumentar la superficie de ataque del ataque Wiki-Slack editando páginas de interés de Wikipedia para desfigurarlas», dijo eSentire.
Fuente y redacción: thehackernews.com
