A campanha de SEO poisoning chamada Bumblebee, revelada no início desta semana por abusar da marca RVTools, está utilizando domínios de typosquatting que imitam outros projetos open-source populares.
O site BleepingComputer conseguiu encontrar dois casos explorando a notoriedade do Zenmap, a interface gráfica para a ferramenta de varredura de rede Nmap, e a utilidade de traceroute WinMTR.
O loader de malware Bumblebee foi distribuído por pelo menos dois domínios - zenmap[.]pro e winmtr[.]org.
Enquanto o último está atualmente offline, o primeiro ainda está online e exibe uma página falsa de blog sobre o Zenmap quando acessado diretamente.
Quando os usuários são redirecionados para zenmap[.]pro a partir dos resultados de busca, no entanto, ele mostra um clone do website legítimo para a utilidade nmap (Network Mapper):
Os dois sites receberam tráfego através de SEO poisoning e estão bem posicionados nos resultados de busca do Google e Bing para os termos associados.
Se alguém visita o site falso do Zenmap diretamente, são exibidos vários artigos gerados por IA, como visto na imagem abaixo:
Os payloads entregues através da seção de download 'zenmap-7.97.msi' e 'WinMTR.msi', ambos evitam detecção da maioria dos motores antivirus no VirusTotal [1, 2].
Os instaladores entregam a aplicação prometida junto com uma DLL maliciosa, como no caso do RVTools, que instala um loader Bumblebee nos dispositivos dos usuários.
A partir daí, a backdoor pode ser usada para perfilar a vítima e introduzir payloads adicionais, que podem incluir infostealers, ransomware e outros tipos de malware.
Além das ferramentas open-source mencionadas acima, o BleepingComputer também viu a mesma campanha mirando usuários procurando pelo software de gestão de câmeras de segurança da Hanwha, WisenetViewer.
O pesquisador da Cyjax, Joe Wrieden, também identificou uma versão trojanizada do software de gestão de vídeo Milestone XProtect sendo parte da mesma campanha, com os instaladores maliciosos sendo entregues em ‘milestonesys[.]org’ (online).
Ambos os domínios oficiais do RVTools - Robware.net e RVTools.com - estão atualmente exibindo um aviso para os usuários não baixarem o software de sites não oficiais, mas não disponibilizam eles mesmos o link para download.
Seguindo as alegações de que o site oficial do RVTools distribuía um instalador com malware, a Dell Technologies negou a acusação dizendo que seus sites não distribuíam uma variante trojanizada do produto.
A Dell declarou que os sites oficiais do RVTools foram tirados do ar porque estavam sendo alvos de ataques de distributed denial-of-service (DDoS).
Uma explicação para os ataques seria que o ator de ameaça por trás do Bumblebee decidiu derrubar os portais oficiais de download para direcionar para os sites maliciosos usuários buscando fontes alternativas para a ferramenta.
Para mitigar o risco de instalar versões trojanizadas de software legítimo, a melhor recomendação é garantir de obtê-lo de fontes oficiais e gerenciadores de pacote.
Também vale a pena verificar o hash do instalador baixado com uma versão limpa conhecida antes de executá-lo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...