Agentes de ameaças usam modelos de rastreamento do Google Ads como uma brecha para criar anúncios de pesquisa de software Webex convincentes que redirecionam os usuários para sites que distribuem o malware BatLoader.
Webex é um conjunto de videoconferência e centro de contato que faz parte do portfólio de produtos de colaboração da Cisco e é usado por corporações e empresas em todo o mundo.
A Malwarebytes relata que a campanha de malvertising tem estado ativa no Google Search por uma semana, com os agentes de ameaças parecendo ser do México.
A Malwarebytes relata que um anúncio malicioso do Google se passa pelo portal oficial de download do Webex, ocupando a posição mais alta nos resultados de pesquisa do Google para o termo "webex".
O que faz o anúncio parecer legítimo é que usa o logotipo real do Webex e exibe a URL legítima, "webex.com", como destino do clique.
Esses componentes de anúncios fazem o anúncio parecer legítimo e indistinguível de um anúncio real da Cisco.
Os agentes de ameaças podem explorar uma brecha no modelo de rastreamento da plataforma de anúncios do Google que lhes permite redirecionar à vontade, enquanto cumprem a política do Google.
Especificamente, o Google diz que os anunciantes podem usar modelos de rastreamento com parâmetros de URL que definem um processo de construção de "URL final" com base em informações do usuário coletadas sobre seu dispositivo, localização e outras métricas relacionadas às interações com anúncios.
A política exige que a URL de exibição de um anúncio e a URL final pertençam ao mesmo domínio.
No entanto, nada impede que o modelo de rastreamento redirecione os usuários para um site fora do domínio indicado.
Neste caso, os agentes de ameaças usaram uma URL do Firebase ("trixwe.page.link") como seu modelo de rastreamento, com uma URL final de https://www.webex.com.
Porém, se o anúncio for clicado, o visitante será redirecionado para o "trixwe.page[.]link", que filtra visitas que parecem se originar de pesquisadores e rastreadores automáticos.
Se o usuário for um alvo desejado, ele será redirecionado para o site "monoo3at[.]com", onde mais verificações são feitas para determinar se eles são vítimas em potencial ou pesquisadores usando um sandbox.
Se o visitante for um alvo que os agentes de ameaças desejam atingir, eles serão redirecionados para um site de propagação de malware em "webexadvertisingoffer[.]com", enquanto todos os outros serão redirecionados para o site legítimo "webex.com" da Cisco.
Se os visitantes da página falsa do Webex clicarem nos botões de download, eles receberão um instalador MSI que inicia vários processos e executa comandos do PowerShell para instalar o malware BatLoader.
Esse malware irá, finalmente, buscar, descriptografar e executar uma carga útil de malware DanaBot adicional.
DanaBot é um trojan bancário modular que tem circulado livremente desde 2018, com a capacidade de roubar senhas, tirar screenshots, carregar módulos de ransomware, mascarar o tráfego C2 malicioso e dar acesso direto aos hosts comprometidos via HVNC.
Aqueles infectados com o DanaBot terão suas credenciais roubadas e enviadas aos atacantes, que as usarão para ataques adicionais ou as venderão para outros agentes de ameaças.
Ao procurar obter software, é sempre bom evitar os resultados promovidos no Google Search e fazer o download apenas diretamente do desenvolvedor do software ou de um site bem conhecido e confiável.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...