Hackers usam anúncios do Google para espalhar malware FatalRAT disfarçado de aplicativos populares

Os ataques envolvem a compra de espaços de anúncios para aparecer nos resultados de pesquisa do Google que levam para sites desonestos

Indivíduos que falam chinês no sudeste e leste da Ásia são os alvos de uma nova campanha desonesta do Google Ads, que fornece trojans de acesso remoto, como o FatalRAT, para máquinas comprometidas.

Os ataques envolvem a compra de espaços de anúncios para aparecer nos resultados de pesquisa do Google que direcionam os usuários que procuram aplicativos populares para sites desonestos que hospedam instaladores trojanizados, disse a ESET em um relatório publicado hoje. Os anúncios já foram retirados.

Alguns dos aplicativos falsificados incluem Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao e WPS Office.

“Os sites e instaladores baixados deles são principalmente em chinês e, em alguns casos, oferecem falsamente versões de software em chinês que não estão disponíveis na China”, disse a empresa eslovaca de segurança cibernética, acrescentando que observou os ataques entre agosto de 2022 e janeiro de 2023.

A maioria das vítimas está localizada em Taiwan, China e Hong Kong, seguidas pela Malásia, Japão, Filipinas, Tailândia, Cingapura, Indonésia e Mianmar.

O aspecto mais importante dos ataques é a criação de sites parecidos com domínios typosquatted para propagar o instalador malicioso, que, na tentativa de manter o ardil, instala o software legítimo, mas também descarta um carregador que implanta o FatalRAT.

Ao fazer isso, ele concede ao invasor o controle completo do computador vitimado, incluindo a execução de comandos shell arbitrários, a execução de arquivos, a coleta de dados de navegadores da Web e a captura de teclas digitadas.

“Os atacantes despenderam algum esforço em relação aos nomes de domínio usados ​​em seus sites, tentando ser o mais parecido possível com os nomes oficiais”, disseram os pesquisadores. “Os sites falsos são, na maioria dos casos, cópias idênticas dos sites legítimos.”

As descobertas chegam menos de um ano depois que a Trend Micro divulgou uma campanha da Purple Fox que alavancou pacotes de software contaminados Adobe, Google Chrome, Telegram e WhatsApp como um vetor de chegada para propagar o FatalRAT.

Eles também chegam em meio a um abuso mais amplo do Google Ads para veicular uma ampla variedade de malware ou, alternativamente, levar os usuários a páginas de phishing de credenciais.

Em um desenvolvimento relacionado, a equipe de caçadores de ameaças da Symantec lançou luz sobre outra campanha de malware que visa entidades em Taiwan com um implante baseado em .NET não documentado anteriormente chamado Frebniis.

“A técnica usada pelo Frebniis envolve a injeção de código malicioso na memória de um arquivo DLL (iisfreb.dll) relacionado a um recurso do IIS usado para solucionar problemas e analisar solicitações de página da Web com falha”, disse a Symantec.

“Isso permite que o malware monitore furtivamente todas as solicitações HTTP e reconheça solicitações HTTP especialmente formatadas enviadas pelo invasor, permitindo a execução remota de código”.

A empresa de segurança cibernética, que atribuiu a invasão a um ator desconhecido, disse que atualmente não se sabe como o acesso à máquina Windows que executa o servidor Internet Information Services ( IIS ) foi obtido.

Fonte: The Hacker News