Anúncios do Google promovem aplicativo malicioso CPU-Z de site falso de notícias do Windows
10 de Novembro de 2023

Um ator de ameaça tem abusado do Google Ads para distribuir uma versão trojanizada da ferramenta CPU-Z para entregar o malware de roubo de informações Redline.

A nova campanha foi detectada por analistas da Malwarebytes que, baseado na infraestrutura de apoio, avaliam que é parte da mesma operação que usou o malvertising do Notepad++ para entregar cargas maliciosas.

O anúncio malicioso do Google para o CPU-Z trojanizado, uma ferramenta que perfila o hardware do computador no Windows, é hospedado em uma cópia clonada do legítimo site de notícias do Windows, o WindowsReport.

CPU-Z é uma utilidade gratuita popular que pode ajudar os usuários a monitorar diferentes componentes de hardware, desde velocidades de ventilador até taxas de clock da CPU, tensão e detalhes de cache.

Clicar no anúncio leva a vítima através de um passo de redirecionamento que engana os rastreadores anti-abuso do Google, enviando visitantes inválidos para um site inofensivo.

Aqueles considerados válidos para receber a carga são redirecionados para um site de notícias do Windows que parece ser hospedado em um dos seguintes domínios:

argenferia[.]com
realvnc[.]pro
corporatecomf[.]online
cilrix-corp[.]pro
thecoopmodel[.]com
winscp-apps[.]online
wireshark-app[.]online
cilrix-corporate[.]online
workspace-app[.]online


A razão para usar um clone de um site legítimo é para adicionar outra camada de confiança ao processo de infecção, já que os usuários estão familiarizados com sites de notícias de tecnologia hospedando links para download de utilitários úteis.

Clicar no botão 'Download now' resulta em receber um instalador CPU-Z assinado digitalmente (arquivo MSI) contendo um script malicioso do PowerShell identificado como o carregador de malware 'FakeBat'.

Assinar o arquivo com um certificado válido torna pouco provável que as ferramentas de segurança do Windows ou produtos antivírus de terceiros em execução no dispositivo enviarão um aviso para o usuário.

O carregador busca uma carga do Redline Stealer de uma URL remota e a lança no computador da vítima.

Redline é um poderoso stealer capaz de coletar senhas, cookies, e dados de navegação de uma série de navegadores e aplicações web e também dados sensíveis de carteiras de criptomoedas.

Para minimizar as chances de infecções por malware ao buscar ferramentas de software específicas, os usuários devem prestar atenção ao clicar em resultados promovidos na Pesquisa do Google e verificar se o site carregado e o domínio correspondem, ou usar um bloqueador de anúncios que os oculta automaticamente.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...