Usuários que falam chinês foram alvo de anúncios maliciosos do Google para aplicativos de mensagens restritos como o Telegram, como parte de uma campanha contínua de malvertising.
"O ator da ameaça está abusando das contas de anunciantes do Google para criar anúncios maliciosos e direcioná-los para páginas onde os usuários desavisados baixarão Trojans de Administração Remota (RATs) em vez disso", disse Jérôme Segura, do Malwarebytes, em um relatório de quinta-feira.
"Esses programas dão ao atacante controle total sobre a máquina da vítima e a capacidade de baixar mais malwares."
Vale ressaltar que a atividade, codinome FakeAPP, é uma continuação de uma onda de ataques anterior que visava usuários de Hong Kong em busca de aplicativos de mensagens como WhatsApp e Telegram em mecanismos de busca em outubro de 2023.
A última iteração da campanha também adiciona o aplicativo de mensagens LINE à lista de aplicativos de mensagens, redirecionando os usuários para sites falsos hospedados no Google Docs ou Google Sites.
A infraestrutura do Google é usada para incorporar links para outros sites sob o controle do ator da ameaça, a fim de fornecer os arquivos de instalação maliciosos que finalmente implantam trojans como PlugX e Gh0st RAT.
O Malwarebytes disse que rastreou os anúncios fraudulentos até duas contas de anunciantes chamadas Interactive Communication Team Limited e Ringier Media Nigeria Limited, baseadas na Nigéria.
"Também parece que o ator da ameaça privilegia a quantidade sobre a qualidade, empurrando constantemente novos payloads e infraestrutura como comando e controle", disse Segura.
Este desenvolvimento surge ao mesmo tempo que a Trustwave SpiderLabs divulgou um aumento no uso de uma plataforma de phishing como serviço (PhaaS) chamada Greatness para criar páginas de colheita de credenciais que parecem legítimas e alvo dos usuários do Microsoft 365.
"O kit permite personalizar nomes de remetentes, endereços de e-mail, assuntos, mensagens, anexos e códigos QR, melhorando a relevância e o engajamento", disse a empresa, acrescentando que vem com medidas anti-detenção como randomização de cabeçalhos, codificação e ofuscação destinadas a contornar filtros de spam e sistemas de segurança.
Greatness é oferecido para venda a outros atores criminosos por $120 por mês, diminuindo efetivamente a barreira de entrada e ajudando-os a conduzir ataques em larga escala.
As sequências de ataque envolvem o envio de e-mails de phishing com anexos HTML maliciosos que, quando abertos pelos destinatários, os direcionam para uma página falsa de login que capta as credenciais inseridas e as exfiltra para o ator da ameaça via Telegram.
Outras sequências de infecção utilizaram os anexos para baixar malwares na máquina da vítima para facilitar o roubo de informações.
Para aumentar a probabilidade de sucesso do ataque, as mensagens de e-mail falsificam fontes confiáveis como bancos e empregadores e induzem uma falsa sensação de urgência usando assuntos como "pagamentos de faturas urgentes" ou "verificação de conta urgente necessária".
"O número de vítimas é desconhecido neste momento, mas Greatness é amplamente utilizado e bem suportado, com sua própria comunidade Telegram fornecendo informações sobre como operar o kit, juntamente com dicas e truques adicionais", disse a Trustwave.
Ataques de phishing também foram observados atingindo empresas sul-coreanas usando iscas que se passam por empresas de tecnologia como a Kakao para distribuir AsyncRAT através de arquivos atalho do Windows (LNK) maliciosos.
"Arquivos de atalho maliciosos disfarçados de documentos legítimos estão sendo continuamente distribuídos", disse o AhnLab Security Intelligence Center (ASEC).
"Os usuários podem confundir o arquivo de atalho com um documento normal, pois a extensão '.LNK' não é visível nos nomes dos arquivos."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...