Anuncios maliciosos de Google engañan a los usuarios de WinSCP para que instalen malware

Los perpetradores de amenazas están utilizando resultados de búsqueda manipulados y anuncios falsos en Google para engañar a usuarios que buscan descargar software legítimo, como WinSCP, y lograr que instalen malware en su lugar.

La compañía de ciberseguridad Securonix está monitorizando esta actividad continua bajo el nombre SEO#LURKER.

«El anuncio malicioso dirige al usuario a un sitio web de WordPress comprometido, gameeweb[.]com, que luego redirige al usuario a un sitio de phishing controlado por el atacante», indicaron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un informe.

Se cree que los perpetradores de amenazas están aprovechando los Anuncios de Búsqueda Dinámica (DSAs) de Google, que generan anuncios automáticamente basados en el contenido de un sitio para mostrar anuncios maliciosos que llevan a las víctimas al sitio infectado.

El objetivo final de esta cadena de ataques multifásicos es incitar a los usuarios a hacer clic en un sitio web falso y similar a WinSCP, winccp[.]net, y descargar el malware.

«El tráfico desde el sitio web gaweeweb[.]com hasta el sitio web falso winsccp[.]net depende de que se establezca correctamente el encabezado de referencia. Si el referente es incorrecto, el usuario es ‘Rickrolled’ y se le redirige al famoso video de Rick Astley en YouTube», explicaron los investigadores.

La carga útil final se presenta como un archivo ZIP («WinSCP_v.6.1.zip») que contiene un ejecutable de configuración. Cuando se ejecuta, utiliza la técnica de carga lateral de DLL para cargar y ejecutar un archivo DLL llamado python311.dll que se encuentra dentro del archivo.

La DLL, a su vez, descarga y ejecuta un instalador legítimo de WinSCP para mantener la apariencia, mientras silenciosamente deja scripts de Python («slv.py» y «wo15.py») en segundo plano para activar el comportamiento malicioso. También se encarga de establecer la persistencia.

Ambos scripts de Python están diseñados para establecer contacto con un servidor controlado por actores remotos para recibir instrucciones adicionales que permitan a los atacantes ejecutar comandos de enumeración en el host.

«Dado que los atacantes estaban utilizando anuncios de Google para distribuir malware, se puede suponer que los objetivos se limitan a aquellos que buscan el software WinSCP», señalaron los investigadores.

«El bloqueo geográfico utilizado en el sitio que aloja el malware sugiere que los afectados por este ataque están en los Estados Unidos».

Esta no es la primera vez que los Anuncios de Búsqueda Dinámica de Google se emplean para distribuir malware. A finales del mes pasado, Malwarebytes reveló una campaña que apunta a usuarios que buscan PyCharm con enlaces a un sitio web hackeado que aloja un instalador falso, facilitando así la instalación de malware que roba información.

El uso de publicidad maliciosa ha ganado popularidad entre los ciberdelincuentes en los últimos años, con numerosas campañas de malware utilizando esta táctica en los últimos meses.

A principios de esta semana, Malwarebytes informó de un aumento en las campañas de skimming de tarjetas de crédito en octubre de 2023 que se estima que han comprometido cientos de sitios web de comercio electrónico con el objetivo de robar información financiera mediante la inyección de páginas de pago falsas convincentes.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *