Pesquisadores de cibersegurança lançaram luz sobre um aspecto anteriormente não documentado, associado a ataques no estilo ClickFix, que dependem de aproveitar um único serviço de rede de anúncios como parte de uma campanha de roubo de informações impulsionada por malvertising, denominada DeceptionAds.
"Totalmente dependente de uma única rede de anúncios para sua propagação, essa campanha destaca os mecanismos centrais do malvertising — entregando mais de 1 milhão de 'impressões de anúncios' diárias [nos últimos dez dias] e causando o prejuízo de milhares de vítimas todos os dias, que perdem suas contas e dinheiro através de uma rede de mais de 3.000 sites de conteúdo que direcionam tráfego", disse Nati Tal, chefe da Guardio Labs, em um relatório compartilhado.
As campanhas, conforme documentadas por várias empresas de cibersegurança nos últimos meses, envolvem direcionar visitantes de sites de filmes piratas e outros para páginas de verificação CAPTCHA falsas, que os instruem a copiar e executar um comando PowerShell codificado em Base64, levando finalmente à implantação de stealers de informações como Lumma.
Os ataques não estão mais confinados a um único ator, com a Proofpoint recentemente afirmando que múltiplos clusters de ameaças "não atribuídos" adotaram essa abordagem inteligente de engenharia social para entregar trojans de acesso remoto, stealers e até frameworks de pós-exploração, como o Brute Ratel C4.
A Guardio Labs disse que foi capaz de rastrear as origens da campanha até a Monetag, uma plataforma que afirma oferecer vários formatos de anúncios para "monetizar websites, tráfego social, Telegram Mini Apps", com os atores de ameaças também aproveitando serviços como o rastreamento de anúncios BeMob para ocultar sua intenção maliciosa.
A Monetag também é rastreada pela Infoblox sob os nomes Vane Viper e Omnatuor.
A campanha efetivamente se resume a isto: proprietários de sites (ou seja, atores de ameaças) se registram na Monetag, após o que o tráfego é redirecionado para um Sistema de Distribuição de Tráfego (TDS) operado pela rede de anúncios de malvertising, levando os visitantes finalmente à página de verificação CAPTCHA.
"Ao fornecer uma URL benigna do BeMob ao sistema de gestão de anúncios da Monetag, em vez da página de captcha falsa direta, os atacantes aproveitaram a reputação do BeMob, complicando os esforços de moderação de conteúdo da Monetag", Tal explicou.
Este TDS do BeMob finalmente redireciona para a página CAPTCHA maliciosa, hospedada em serviços como Oracle Cloud, Scaleway, Bunny CDN, EXOScale e até o Cloudflare R2.
A Guardio disse ao The Hacker News que a campanha aproveitando Monetag e BeMob parece ser conduzida por um único ator que explorou a infraestrutura associada a essas redes para alcançar as vítimas em grandes números.
Vale ressaltar também que a campanha envolve diferentes variantes falsas de CAPTCHA propagando-se exclusivamente via malvertising.
Após a divulgação responsável, a Monetag removeu mais de 200 contas ligadas ao ator de ameaça até o final de novembro de 2024.
BeMob, em um esforço semelhante, removeu as contas que foram usadas para ocultamento.
Dito isso, há indícios de que a campanha retomou novamente a partir de 5 de dezembro.
As descobertas ressaltam mais uma vez a necessidade de moderação de conteúdo e validação robusta de contas para evitar registros falsos.
"De sites editores enganosos oferecendo conteúdo pirata ou clickbait a cadeias complexas de redirecionamento e técnicas de ocultamento, essa campanha sublinha como as redes de anúncios, projetadas para fins legítimos, podem ser armadas para atividades maliciosas", disse Tal.
O resultado é uma cadeia fragmentada de responsabilidades, com redes de anúncios, editores, serviços de estatísticas de anúncios e provedores de hospedagem cada um desempenhando um papel, porém frequentemente evitando responsabilidade.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...