Anúncios Maliciosos no Google Visam Usuários Chineses com Aplicativos de Mensagens Falsos
26 de Janeiro de 2024

Usuários que falam chinês foram alvo de anúncios maliciosos do Google para aplicativos de mensagens restritos como o Telegram, como parte de uma campanha contínua de malvertising.

"O ator da ameaça está abusando das contas de anunciantes do Google para criar anúncios maliciosos e direcioná-los para páginas onde os usuários desavisados baixarão Trojans de Administração Remota (RATs) em vez disso", disse Jérôme Segura, do Malwarebytes, em um relatório de quinta-feira.

"Esses programas dão ao atacante controle total sobre a máquina da vítima e a capacidade de baixar mais malwares."

Vale ressaltar que a atividade, codinome FakeAPP, é uma continuação de uma onda de ataques anterior que visava usuários de Hong Kong em busca de aplicativos de mensagens como WhatsApp e Telegram em mecanismos de busca em outubro de 2023.

A última iteração da campanha também adiciona o aplicativo de mensagens LINE à lista de aplicativos de mensagens, redirecionando os usuários para sites falsos hospedados no Google Docs ou Google Sites.

A infraestrutura do Google é usada para incorporar links para outros sites sob o controle do ator da ameaça, a fim de fornecer os arquivos de instalação maliciosos que finalmente implantam trojans como PlugX e Gh0st RAT.

O Malwarebytes disse que rastreou os anúncios fraudulentos até duas contas de anunciantes chamadas Interactive Communication Team Limited e Ringier Media Nigeria Limited, baseadas na Nigéria.

"Também parece que o ator da ameaça privilegia a quantidade sobre a qualidade, empurrando constantemente novos payloads e infraestrutura como comando e controle", disse Segura.

Este desenvolvimento surge ao mesmo tempo que a Trustwave SpiderLabs divulgou um aumento no uso de uma plataforma de phishing como serviço (PhaaS) chamada Greatness para criar páginas de colheita de credenciais que parecem legítimas e alvo dos usuários do Microsoft 365.

"O kit permite personalizar nomes de remetentes, endereços de e-mail, assuntos, mensagens, anexos e códigos QR, melhorando a relevância e o engajamento", disse a empresa, acrescentando que vem com medidas anti-detenção como randomização de cabeçalhos, codificação e ofuscação destinadas a contornar filtros de spam e sistemas de segurança.

Greatness é oferecido para venda a outros atores criminosos por $120 por mês, diminuindo efetivamente a barreira de entrada e ajudando-os a conduzir ataques em larga escala.

As sequências de ataque envolvem o envio de e-mails de phishing com anexos HTML maliciosos que, quando abertos pelos destinatários, os direcionam para uma página falsa de login que capta as credenciais inseridas e as exfiltra para o ator da ameaça via Telegram.

Outras sequências de infecção utilizaram os anexos para baixar malwares na máquina da vítima para facilitar o roubo de informações.

Para aumentar a probabilidade de sucesso do ataque, as mensagens de e-mail falsificam fontes confiáveis como bancos e empregadores e induzem uma falsa sensação de urgência usando assuntos como "pagamentos de faturas urgentes" ou "verificação de conta urgente necessária".

"O número de vítimas é desconhecido neste momento, mas Greatness é amplamente utilizado e bem suportado, com sua própria comunidade Telegram fornecendo informações sobre como operar o kit, juntamente com dicas e truques adicionais", disse a Trustwave.

Ataques de phishing também foram observados atingindo empresas sul-coreanas usando iscas que se passam por empresas de tecnologia como a Kakao para distribuir AsyncRAT através de arquivos atalho do Windows (LNK) maliciosos.

"Arquivos de atalho maliciosos disfarçados de documentos legítimos estão sendo continuamente distribuídos", disse o AhnLab Security Intelligence Center (ASEC).

"Os usuários podem confundir o arquivo de atalho com um documento normal, pois a extensão '.LNK' não é visível nos nomes dos arquivos."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...