Atualizações falsas do Windows no navegador levam ao malware info-stealer Aurora
11 de Maio de 2023

Uma campanha de malvertising recentemente identificada enganou usuários com uma simulação de atualização do Windows no navegador para fornecer o malware de roubo de informações Aurora.

Escrito em Golang, o Aurora está disponível em vários fóruns de hackers há mais de um ano, anunciado como um ladrão de informações com amplas capacidades e baixa detecção de antivírus.

De acordo com pesquisadores da Malwarebytes, a operação de malvertising depende de anúncios popunder em sites de conteúdo adulto com alto tráfego e redireciona possíveis vítimas para um local que serve malware.

Os anúncios popunder são anúncios baratos que lançam atrás da janela ativa do navegador, permanecendo ocultos do usuário até que eles fechem ou movam a janela principal do navegador.

Em dezembro do ano passado, o Google relatou que popunders foram usados em uma campanha de fraude publicitária que arrecadou centenas de milhares de visitantes e dezenas de milhões de impressões de anúncios fraudulentos.

O mais recente identificado pela Malwarebytes tem um impacto muito menor, com cerca de 30.000 usuários redirecionados e quase 600 baixaram e instalaram o malware de roubo de dados em seus sistemas.

No entanto, o ator da ameaça teve uma ideia imaginativa em que o popunder renderiza uma janela de navegador em tela cheia que simula uma tela de atualização do sistema Windows.

Os pesquisadores rastrearam mais de uma dúzia de domínios usados nas campanhas, muitos deles parecendo se passar por sites adultos, que simulavam a falsa atualização do Windows: todos eles serviram para baixar um arquivo chamado "ChromeUpdate.exe", revelando a fraude da tela de navegador em tela cheia; no entanto, alguns usuários ainda foram enganados a implantar o executável malicioso.

O suposto atualizador do Chrome é um carregador de malware chamado "Invalid Printer", supostamente "totalmente indetectável" (FUD), que parece ser usado exclusivamente por este ator da ameaça em particular.

A Malwarebytes afirma que quando seus analistas descobriram o "Invalid Printer", nenhum motor antivírus no Virus Total o identificou como malicioso.

A detecção começou a aumentar algumas semanas depois, no entanto, após a publicação de um relatório relevante da Morphisec.

O "Invalid Printer" primeiro verifica a placa gráfica do host para determinar se está sendo executado em uma máquina virtual ou em um ambiente de sandbox.

Se não estiver, ele descompacta e inicia uma cópia do ladrão de informações Aurora, descobriram os pesquisadores.

A Malwarebytes comenta que o ator da ameaça por trás desta campanha parece estar particularmente interessado em criar ferramentas difíceis de detectar, e eles estão constantemente enviando novas amostras para o Virus Total para verificar como elas se saem contra os motores de detecção.

Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes, observou que todas as vezes que uma nova amostra era enviada pela primeira vez ao Virus Total, ela vinha de um usuário na Turquia e que "em muitos casos, o nome do arquivo parecia ter saído do compilador (ou seja, build1_enc_s.exe)."

Uma investigação adicional revelou que o ator da ameaça também usa um painel Amadey, indicando potencialmente o uso da ferramenta de reconhecimento e carregamento de malware bem documentada, e também executa golpes de suporte técnico direcionados aos ucranianos.

A Malwarebytes fornece uma análise técnica da instalação e comportamento de malware, juntamente com um conjunto de indicadores de comprometimento que empresas e fornecedores de segurança podem usar para defender seus usuários.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...