- Los usuarios que buscan descargar software popular como AnyDesk o Telegram pueden terminar descargando malware.
- Los actores maliciosos están abusando de Google Adwords para promocionar sus sitios de distribución de malware y eliminar ladrones de información firmados digitalmente.
- Los ejecutables vienen escondidos en su interior. ISO archivos y cuentan con varias capas de sistemas de ofuscación y antianálisis.
Hay un aumento en el número de infecciones causadas por ladrones de información que circulan por la red en este momento. Una explicación para esto radica en la posibilidad de abusar de Google Adwords para promocionar el malware a través de anuncios de pago por clic (PPC) en la Búsqueda de Google. Morphisec confirmó esto después de que sus investigadores decidieran analizar el fenómeno y descubrir los detalles técnicos que ayudan a impulsar a ladrones de información como ‘Redline’, ‘Taurus’, ‘Tesla’ y ‘Amadey’.
De acuerdo con la Informe morfiseclos resultados de la Búsqueda de Google que se han vinculado con malware se refieren a términos como AnyDesk, Dropbox y Telegram, mientras que los paquetes de instalación están empaquetados “extrañamente” como ISO archivos de imagen.
La mayoría de los anuncios PPC que promocionan a los ladrones de información de esta manera aparecen en la primera página de resultados de búsqueda, lo que hace que esto sea aún más complicado para los usuarios de Internet. Además, al actor le gusta configurar Adwords para que se oriente a rangos de IP en los Estados Unidos y otros países prolíficos, de modo que las IP no específicas se redirigen a páginas legítimas para descargar el software real, no el malware.
Al montar el ISO archivo de imagen, la víctima abre la carpeta extraída, que contiene ejecutables firmados digitalmente y verificados con certificados Cloudflare o Sectigo. Esto es para evitar banderas AV, mientras que el ISO tamaño, que suele ser superior a 100 MB, también es útil en esa parte. Los ejecutables también tienen varias capas de ofuscación, y en el caso de ‘Redline’ presenta cuatro capas individuales.
Y finalmente, los ladrones de información utilizados cuentan con técnicas antianálisis como detección de virtualización y controles de evasión a través de WMI.
Los sitios web que reciben tráfico de los anuncios PPC son los siguientes, por lo que si llega a uno de ellos, no descargue nada.
- hxxps://me.anydesk-pro[.]com/
- hxxps://desklop.telegram-home[.]com/
- hxxps://pc.anydesk-go[.]com/
- hxxps://desklop.anydesk-nuevo[.]com/
- hxxps://desklop.pc-whatisapp[.]com/
- hxxps://anydesk-es-descargas[.]com/
- hxxps://anydesk-one[.]com/
- hxxps: //cualquier escritorio[.]com/
- hxxps://anydesk-connect[.]com/
- hxxps: //anydesk-vip[.]com/
Por supuesto, los adversarios pueden cambiar los sitios de distribución y conectar aplicaciones en cualquier momento, por lo que la vigilancia debe ser un elemento constante al navegar en línea y buscar descargar archivos de instalación. Dado que los actores pagan varios miles de dólares para abusar de Google Adwords y de alguna manera tienen la capacidad de obtener certificados legítimos, parece que ni siquiera se puede confiar en los principales resultados de búsqueda.
