Em mais um exemplo de como os atores de ameaças estão abusando do Google Ads para servir malware, um ator de ameaças foi observado utilizando a técnica para entregar um novo trojan financeiro baseado no Windows e um ladrão de informações chamado LOBSHOT.
"LOBSHOT continua a coletar vítimas enquanto permanece sob o radar", disse o pesquisador do Elastic Security Labs, Daniel Stepanic, em uma análise publicada na semana passada.
"Uma das principais capacidades do LOBSHOT é em torno de seu componente hVNC (Computação Virtual de Rede Escondida).
Esses tipos de módulos permitem acesso direto e não observado à máquina."
A empresa americana-holandesa atribuiu a cepa de malware a um ator de ameaça conhecido como TA505 com base em infraestrutura historicamente conectada ao grupo.
TA505 é um sindicato de e-crime motivado financeiramente que se sobrepõe a clusters de atividade rastreados sob os nomes Evil Corp, FIN11 e Indrik Spider.
O mais recente desenvolvimento é significativo porque é um sinal de que o TA505, associado ao trojan bancário Dridex, está mais uma vez expandindo seu arsenal de malware para perpetrar roubo de dados e fraude financeira.
O LOBSHOT, com amostras iniciais datadas de julho de 2022, é distribuído por meio de anúncios falsos do Google para ferramentas legítimas como AnyDesk, hospedados em uma rede de páginas de destino parecidas mantidas pelos operadores.
O malware incorpora resolução dinâmica de importação (ou seja, resolvendo os nomes das APIs do Windows necessárias em tempo de execução), verificações anti-emulação e ofuscação de strings para evitar a detecção por software de segurança.
Uma vez instalado, ele faz alterações no Registro do Windows para configurar a persistência e sifona dados de mais de 50 extensões de carteira de criptomoeda presentes em navegadores da web como Google Chrome, Microsoft Edge e Mozilla Firefox.
As outras características notáveis do LOBSHOT giram em torno de sua capacidade de acessar remotamente o host comprometido por meio de um módulo hVNC e realizar ações furtivas nele sem atrair a atenção da vítima.
"Os grupos de ameaças continuam a aproveitar técnicas de malvertising para disfarçar software legítimo com backdoors como o LOBSHOT", disse Stepanic.
"Esses tipos de malware parecem pequenos, mas acabam embalando funcionalidades significativas que ajudam os atores de ameaças a se mover rapidamente durante as fases de acesso inicial com capacidades de controle remoto totalmente interativas."
Os resultados também destacam como um número crescente de adversários está adotando malvertising e envenenamento de otimização de mecanismos de pesquisa (SEO) como uma técnica para redirecionar usuários para sites falsos e baixar instaladores trojanizados de software popular.
De acordo com dados da eSentire, os atores de ameaças por trás do GootLoader têm sido ligados a uma sequência de ataques direcionados a escritórios de advocacia e departamentos jurídicos corporativos nos EUA, Canadá, Reino Unido e Austrália.
O GootLoader, ativo desde 2018 e que funciona como uma operação de acesso inicial como serviço para ataques de ransomware, emprega envenenamento de SEO para atrair vítimas que procuram acordos e contratos para blogs WordPress infectados que apontam para links contendo o malware.
Além de implementar geofencing para atingir vítimas em regiões selecionadas, a cadeia de ataque é projetada de forma que o malware só possa ser baixado uma vez por dia nos sites sequestrados para evitar a descoberta pelos respondentes de incidentes.
O uso do método de endereço IP pelo GootLoader para rastrear vítimas já hackeadas, descobriu a eSentire, pode ser usado contra ele para bloquear preventivamente os endereços IP dos usuários finais e impedir que as organizações sejam potencialmente infectadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...