Anúncios maliciosos do Notepad++ no Google evadem detecção por meses
18 de Outubro de 2023

Uma nova campanha de malvertising no Google Search tem como alvo usuários que desejam baixar o popular editor de texto Notepad++, empregando técnicas avançadas para evitar detecção e análise.

Os atores de ameaças têm abusado cada vez mais dos anúncios do Google em campanhas de malvertising para promover sites de software falsos que distribuem malware.

De acordo com a Malwarebytes, que identificou a campanha de malvertising do Notepad++, ela já está ativa há vários meses, mas conseguiu passar despercebida durante todo esse tempo.

O payload final entregue às vítimas é desconhecido, mas a Malwarebytes diz que é provavelmente o Cobalt Strike, que geralmente precede implantações de ransomware altamente prejudiciais.

A campanha de malvertising do Notepad++ promove URLs que não têm relação nenhuma com o projeto de software, mas usa títulos enganosos exibidos em anúncios de resultados de pesquisa do Google.

Essa estratégia de SEO é fortemente abusada neste caso, e como os títulos são muito maiores e mais visíveis que as URLs, muitas pessoas tendem a cair na armadilha.

Quando as vítimas clicam em qualquer um dos anúncios, uma etapa de redirecionamento verifica seu IP para filtrar os usuários que provavelmente sejam crawlers, VPNs, bots, etc., levando-os a um site de despiste que não instala nada de malicioso.

Em contraste, os alvos legítimos são redirecionados para "notepadxtreme[.]com", que imita o site real do Notepad++, apresentando links para baixar várias versões do editor de texto.

Quando os visitantes clicam nesses links, uma segunda verificação da identidade digital do sistema é realizada por um snippet de JavaScript para validar que não há anomalias ou indicações de que o visitante está usando um sandbox.

As vítimas que são identificadas como alvos em potencial recebem então um script HTA, que é atribuído um ID único, provavelmente para permitir que os atacantes rastreiem suas infecções.

Esse payload é fornecido apenas uma vez por vítima, então uma segunda visita resulta em um erro 404.

O exame da Malwarebytes do HTA não produziu nenhuma informação útil devido a ele não estar armado no momento, mas os analistas encontraram o mesmo arquivo em um upload do VirusTotal de julho.

Esse arquivo tentou se conectar a um domínio remoto em uma porta personalizada, com os pesquisadores acreditando que provavelmente fazia parte de uma implantação de Cobalt Strike.

Para evitar o download de malware ao procurar ferramentas de software específicas, evite resultados promovidos no Google Search e verifique se você acessou o domínio oficial.

Se estiver em dúvida sobre o site real do projeto, verifique sua página "Sobre", documentação, página na Wikipedia e canais oficiais de mídia social.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...