Anúncios falsos da Cisco Webex no Google Ads abusam de modelos de rastreamento para disseminar malware
18 de Setembro de 2023

Agentes de ameaças usam modelos de rastreamento do Google Ads como uma brecha para criar anúncios de pesquisa de software Webex convincentes que redirecionam os usuários para sites que distribuem o malware BatLoader.

Webex é um conjunto de videoconferência e centro de contato que faz parte do portfólio de produtos de colaboração da Cisco e é usado por corporações e empresas em todo o mundo.

A Malwarebytes relata que a campanha de malvertising tem estado ativa no Google Search por uma semana, com os agentes de ameaças parecendo ser do México.

A Malwarebytes relata que um anúncio malicioso do Google se passa pelo portal oficial de download do Webex, ocupando a posição mais alta nos resultados de pesquisa do Google para o termo "webex".

O que faz o anúncio parecer legítimo é que usa o logotipo real do Webex e exibe a URL legítima, "webex.com", como destino do clique.

Esses componentes de anúncios fazem o anúncio parecer legítimo e indistinguível de um anúncio real da Cisco.

Os agentes de ameaças podem explorar uma brecha no modelo de rastreamento da plataforma de anúncios do Google que lhes permite redirecionar à vontade, enquanto cumprem a política do Google.

Especificamente, o Google diz que os anunciantes podem usar modelos de rastreamento com parâmetros de URL que definem um processo de construção de "URL final" com base em informações do usuário coletadas sobre seu dispositivo, localização e outras métricas relacionadas às interações com anúncios.

A política exige que a URL de exibição de um anúncio e a URL final pertençam ao mesmo domínio.

No entanto, nada impede que o modelo de rastreamento redirecione os usuários para um site fora do domínio indicado.

Neste caso, os agentes de ameaças usaram uma URL do Firebase ("trixwe.page.link") como seu modelo de rastreamento, com uma URL final de https://www.webex.com.

Porém, se o anúncio for clicado, o visitante será redirecionado para o "trixwe.page[.]link", que filtra visitas que parecem se originar de pesquisadores e rastreadores automáticos.

Se o usuário for um alvo desejado, ele será redirecionado para o site "monoo3at[.]com", onde mais verificações são feitas para determinar se eles são vítimas em potencial ou pesquisadores usando um sandbox.

Se o visitante for um alvo que os agentes de ameaças desejam atingir, eles serão redirecionados para um site de propagação de malware em "webexadvertisingoffer[.]com", enquanto todos os outros serão redirecionados para o site legítimo "webex.com" da Cisco.

Se os visitantes da página falsa do Webex clicarem nos botões de download, eles receberão um instalador MSI que inicia vários processos e executa comandos do PowerShell para instalar o malware BatLoader.

Esse malware irá, finalmente, buscar, descriptografar e executar uma carga útil de malware DanaBot adicional.

DanaBot é um trojan bancário modular que tem circulado livremente desde 2018, com a capacidade de roubar senhas, tirar screenshots, carregar módulos de ransomware, mascarar o tráfego C2 malicioso e dar acesso direto aos hosts comprometidos via HVNC.

Aqueles infectados com o DanaBot terão suas credenciais roubadas e enviadas aos atacantes, que as usarão para ataques adicionais ou as venderão para outros agentes de ameaças.

Ao procurar obter software, é sempre bom evitar os resultados promovidos no Google Search e fazer o download apenas diretamente do desenvolvedor do software ou de um site bem conhecido e confiável.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...