Uma nova campanha de malvertising no Google Ads, coincidindo com o lançamento do navegador web Arc para Windows, estava enganando as pessoas para baixarem instaladores trojanizados que as infectam com payloads de malware.
O navegador Arc é um novo navegador web que apresenta um design de interface de usuário inovador, distinguindo-se dos navegadores tradicionais.
Lançado em julho de 2023 para macOS e após receber críticas positivas de publicações de tecnologia e usuários, seu lançamento recente no Windows era muito esperado.
De acordo com um relatório da Malwarebytes, criminosos cibernéticos se prepararam para o lançamento do produto, configurando anúncios maliciosos na Busca do Google para atrair usuários procurando baixar o novo navegador web.
A plataforma de anúncios do Google tem um problema significativo que permite que atores de ameaças publiquem anúncios exibindo URLs legítimos, o que tem sido abusado para mirar na Amazon, Whales Market, WebEx e na própria plataforma de vídeo do Google, YouTube.
A Malwarebytes encontrou resultados promovidos para os termos de pesquisa "instalador do Arc" e "navegador Arc para Windows" exibindo a URL correta para o Arc.
No entanto, após clicar no anúncio, os pesquisadores são redirecionados para domínios com erros de digitação que visualmente se assemelham ao site genuíno.
Se o botão "Download" for clicado, um arquivo de instalação trojanizado é recuperado da plataforma de hospedagem MEGA, que baixa um payload malicioso adicional nomeado 'bootstrap.exe' de um recurso externo.
A API do MEGA é abusada para operações de comando e controle (C2), enviando e recebendo instruções operacionais e dados.
O arquivo instalador busca um arquivo PNG contendo código malicioso que compila e solta o payload final, 'JRWeb.exe', no disco da vítima.
A Malwarebytes também observou uma cadeia de infecção separada que envolve o instalador usando um executável Python para injetar código em msbuild.exe, que consulta um site externo para recuperar comandos para execução.
Os analistas sugerem que o payload final desses ataques é um ladrão de informações, embora isso ainda não tenha sido determinado.
Devido ao navegador Arc ser instalado como esperado na máquina da vítima e os arquivos maliciosos rodarem furtivamente em segundo plano, é improvável que a vítima perceba que agora está infectada com malware.
Atores de ameaças capitalizando o hype em torno dos lançamentos de novos softwares/jogos não é novidade, mas continua sendo um método eficaz para distribuir malware.
Usuários procurando baixar softwares devem evitar todos os resultados promovidos na Busca do Google, usar bloqueadores de anúncios que ocultem esses resultados e bookmarkar sites oficiais dos projetos para uso futuro.
Além disso, sempre verifique a autenticidade dos domínios de onde você está prestes a baixar instaladores e sempre escaneie arquivos baixados em uma ferramenta AV atualizada antes de executá-los.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...