Pesquisadores de cibersegurança revelaram uma campanha maliciosa que aproveita técnicas de poisoning de Search Engine Optimization (SEO) para distribuir um conhecido malware loader chamado Oyster (também conhecido como Broomstick ou CleanUpLoader).
A atividade de malvertising, segundo a Arctic Wolf, promove websites falsos que hospedam versões trojanizadas de ferramentas legítimas como PuTTY e WinSCP, com o objetivo de enganar profissionais de software que buscam por esses programas para instalá-los.
"Após a execução, um backdoor conhecido como Oyster/Broomstick é instalado", disse a empresa em um resumo publicado na última semana.
"A persistência é estabelecida pela criação de uma tarefa agendada que roda a cada três minutos, executando um DLL malicioso (twain_96.dll) via rundll32.exe usando a exportação DllRegisterServer, indicando o uso de registro de DLL como parte do mecanismo de persistência." Abaixo estão listados alguns dos websites falsos:
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet, e
- puttyy[.]org
Suspeita-se que os atores de ameaças por trás da campanha também possam estar visando outras ferramentas de TI para entregar o malware, tornando imperativo que os usuários recorram a fontes confiáveis e sites oficiais dos fornecedores para baixar o software necessário.
A divulgação acontece enquanto técnicas de poisoning de SEO black hat estão sendo utilizadas para manipular resultados de busca associados a palavras-chave relacionadas à inteligência artificial (AI) para espalhar Vidar, Lumma e Legion Loader.
Esses websites são equipados com código JavaScript que verifica a presença de bloqueadores de anúncios e coleta informações do navegador da vítima, antes de iniciar uma cadeia de redirecionamentos que leva a vítima para uma página de phishing hospedando um arquivo ZIP.
"As páginas finais de download nesta campanha entregam Vidar Stealer e Lumma Stealer como arquivos ZIP protegidos por senha, com a senha fornecida na página final de download", disse o Zscaler ThreatLabz.
Uma vez extraídos, eles contêm um instalador NSIS de 800MB, um tamanho enganosamente grande pretendendo parecer legítimo e burlar sistemas de detecção com limitações de tamanho de arquivo.
O instalador NSIS é então utilizado para executar um script AutoIt que é responsável, em última análise, por lançar os payloads do stealer.
O mecanismo de entrega para Legion Loader, em contraste, utiliza um instalador MSI para implantar o malware via um script em lote.
Uma campanha similar de envenenamento de SEO foi observada para elevar páginas de phishing quando os usuários buscam pelos nomes de aplicações web populares, direcionando os usuários para páginas falsas de verificação de CAPTCHA da Cloudflare que utilizam a estratégia infame ClickFix para soltar RedLine Stealer via Hijack Loader.
De acordo com dados compilados pela Kaspersky, pequenas e médias empresas (PMEs) estão sendo cada vez mais visadas por ataques cibernéticos que entregam malware disfarçado de ferramentas populares de AI e colaboração como OpenAI ChatGPT, DeepSeek, Cisco AnyConnect, Google Drive, Microsoft Office, Microsoft Teams, Salesforce e Zoom.
"Entre janeiro e abril de 2025, cerca de 8.500 usuários de pequenas e médias empresas foram visados por ataques cibernéticos nos quais malware ou software potencialmente indesejado foi disfarçado como essas ferramentas populares", disse a empresa russa de cibersegurança.
Zoom respondeu por cerca de 41% do número total de arquivos únicos, seguido por Outlook e PowerPoint com 16% cada, Excel com 12%, Word com 9% e Teams com 5%.
O número de arquivos maliciosos únicos imitando ChatGPT aumentou 115% para 177 nos primeiros quatro meses de 2025.
Enquanto a tendência de abusar de listagens falsas de motores de busca para tirar vantagem da confiança implícita dos usuários em marcas populares é uma tática bem conhecida, campanhas recentes sequestraram buscas por páginas de suporte técnico ligadas à Apple, Bank of America, Facebook, HP, Microsoft, Netflix e PayPal para servir páginas legítimas através de resultados patrocinados no Google – mas com um toque engenhoso.
"Os visitantes são levados à seção de ajuda/suporte do site da marca, mas, em vez do número de telefone genuíno, os sequestradores exibem seus números fraudulentos", disse Malwarebytes.
Isso é alcançado por meio de uma técnica chamada injeção de parâmetro de pesquisa para mostrar dentro de uma barra de pesquisa um número que está sob controle do atacante, a fim de dar a impressão de que é um resultado de pesquisa oficial dentro das páginas do centro de ajuda e enganar usuários desavisados a ligarem para eles.
O que torna o ataque particularmente insidioso é que os parâmetros adicionados à direita do domínio real do centro de ajuda (ex.: "Ligue para nós 1-***-***-**** gratuitamente") não são visíveis no resultado de busca patrocinado, portanto, não dando motivo para os usuários suspeitarem de algo errado.
Não é apenas na plataforma de publicidade do Google.
Atores de ameaças também foram pegos veiculando anúncios falsos no Facebook para pescar frases de recuperação de carteiras de criptomoedas e espalhar malware em conjunto com o Pi2Day, um evento anual ligado à comunidade da Pi Network.
O malware, disseminado através de anúncios incentivando os usuários a instalar uma nova versão do aplicativo de desktop da Pi Network para Windows, vem com capacidades para roubar credenciais salvas e chaves de carteiras cripto, registrar entradas do usuário e baixar payloads adicionais, enquanto evita detecção.
A empresa romena de cibersegurança Bitdefender disse que a atividade é possivelmente obra de um único ator de ameaça que está "executando esquemas de fraude paralelos no Meta para maximizar alcance, ganho financeiro e eficiência de mira." E não termina aqui, pois websites falsos que se passam por AI, serviços de VPN e outras marcas de software bem conhecidas foram encontrados entregando Poseidon Stealer em sistemas macOS e um loader chamado PayDay Loader, que então atua como um conduto para Lumma Stealer em máquinas Windows.
A atividade foi codinomeada Dark Partners pelo pesquisador de segurança g0njxa.
PayDay Loader depende de links do Google Calendar como um dead drop resolver para extrair o servidor de comando e controle (C2) e obter código JavaScript ofuscado projetado para carregar o payload do Lumma Stealer e sifonar dados sensíveis.
Interessantemente, o endereço de email usado para criar os eventos do Google Calendar ("echeverridelfin@gmail[.]com") também foi visto em conexão com um pacote npm malicioso chamado "os-info-checker-es6".
Isso indica que os atores de Dark Partners provavelmente experimentaram diferentes mecanismos de entrega.
"O PayDay Loader tem um módulo Node.js stealer para exfiltrar dados de carteiras de criptomoedas para um C2 externo", disse g0njxa.
Usando a biblioteca ADM-ZIP para Node.js, o PayDay Loader é capaz de encontrar, empacotar e enviar informações da carteira para um host C2 codificado.
Essas campanhas andam de mãos dadas com um fenômeno contínuo onde golpistas e criminosos cibernéticos montam redes extensas abrangendo milhares de websites para imitar marcas populares e cometer fraudes financeiras anunciando produtos reais que nunca são entregues.
Uma tal rede, chamada GhostVendors pela Silent Push, compra espaço de anúncios no Facebook para promover mais de 4.000 sites duvidosos.
Os anúncios maliciosos do Facebook Marketplace são veiculados por alguns dias, após os quais são interrompidos, apagando efetivamente todos os vestígios deles da Biblioteca de Anúncios do Meta.
Vale ressaltar que o Meta manteve anúncios sobre questões sociais, eleições e política nos últimos sete anos.
"Isso ajudou a confirmar uma política conhecida da biblioteca de anúncios do Meta existente e destacou que potencialmente esses atores de ameaças estavam se aproveitando disso, lançando e interrompendo rapidamente anúncios para produtos semelhantes em páginas diferentes", disseram os pesquisadores da Silent Push.
Outra rede identificada pela empresa, visando consumidores de língua inglesa e espanhola com anúncios falsos de marketplace, é avaliada como obra de atores de ameaças chineses.
Esses websites são projetados principalmente para roubar informações de cartão de crédito inseridas em páginas de pagamento, enquanto afirmam processar os pedidos.
Alguns dos sites falsos também incluem widgets de compra do Google Pay para possibilitar pagamentos.
"Essa campanha de mercado falso visa principalmente os consumidores com uma ameaça de phishing que explora grandes marcas, organizações bem conhecidas e a fama de algumas figuras políticas," disse Silent Push.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...