Los perpetradores de amenazas están utilizando resultados de búsqueda manipulados y anuncios falsos en Google para engañar a usuarios que buscan descargar software legítimo, como WinSCP, y lograr que instalen malware en su lugar.
La compañía de ciberseguridad Securonix está monitorizando esta actividad continua bajo el nombre SEO#LURKER.
Se cree que los perpetradores de amenazas están aprovechando los Anuncios de Búsqueda Dinámica (DSAs) de Google, que generan anuncios automáticamente basados en el contenido de un sitio para mostrar anuncios maliciosos que llevan a las víctimas al sitio infectado.
El objetivo final de esta cadena de ataques multifásicos es incitar a los usuarios a hacer clic en un sitio web falso y similar a WinSCP, winccp[.]net, y descargar el malware.
La carga útil final se presenta como un archivo ZIP («WinSCP_v.6.1.zip») que contiene un ejecutable de configuración. Cuando se ejecuta, utiliza la técnica de carga lateral de DLL para cargar y ejecutar un archivo DLL llamado python311.dll que se encuentra dentro del archivo.
La DLL, a su vez, descarga y ejecuta un instalador legítimo de WinSCP para mantener la apariencia, mientras silenciosamente deja scripts de Python («slv.py» y «wo15.py») en segundo plano para activar el comportamiento malicioso. También se encarga de establecer la persistencia.
Ambos scripts de Python están diseñados para establecer contacto con un servidor controlado por actores remotos para recibir instrucciones adicionales que permitan a los atacantes ejecutar comandos de enumeración en el host.
Esta no es la primera vez que los Anuncios de Búsqueda Dinámica de Google se emplean para distribuir malware. A finales del mes pasado, Malwarebytes reveló una campaña que apunta a usuarios que buscan PyCharm con enlaces a un sitio web hackeado que aloja un instalador falso, facilitando así la instalación de malware que roba información.
El uso de publicidad maliciosa ha ganado popularidad entre los ciberdelincuentes en los últimos años, con numerosas campañas de malware utilizando esta táctica en los últimos meses.
A principios de esta semana, Malwarebytes informó de un aumento en las campañas de skimming de tarjetas de crédito en octubre de 2023 que se estima que han comprometido cientos de sitios web de comercio electrónico con el objetivo de robar información financiera mediante la inyección de páginas de pago falsas convincentes.