Microsoft advierte sobre hackers que usan Google Ads para distribuir el ransomware Royal

Se detectó a un grupo de hackers en desarrollo que usa Google Ads en una de sus campañas para distribuir varias cargas útiles posteriores al compromiso, incluyendo el ransomware Royal recientemente descubierto.

Microsoft, que detectó el método de entrega de malware actualizado a fines de octubre de 2022, está rastreando al grupo con el nombre DEV-0569.

«Los ataques DEV-0569 observados muestran un patrón de innovación continua, con la incorporación regular de nuevas técnicas de descubrimiento, evasión de defensa y varias cargas útiles posteriores al compromiso, junto con una mayor facilitación de ransomware», dijo el equipo de Microsoft Security Threat Intelligence.

Se sabe que el atacante confía en la publicidad maliciosa para dirigir a las víctimas desprevenidas a enlaces de descarga de malware que se hacen pasar por instaladores de software para aplicaciones legítimas como Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams y Zoom.

El descargador de malware, una variedad conocida como BATLOADER, es un cuentagotas que funciona como un conducto para distribuir las cargas útiles de siguiente etapa. Se ha observado que comparte superposiciones con otro malware llamado ZLoader.

Un análisis reciente de BATLOADER realizado por eSentire y VMware destacó el sigilo y la persistencia del malware, además de su uso de envenenamiento por optimización de motores de búsqueda (SEO) para atraer a los usuarios a descargar el malware de sitios web comprometidos o dominios creados por atacantes.

Alternativamente, los enlaces de phishing se comparten por medio de correos electrónicos no deseados, páginas de foros falsas, comentarios de blogs e incluso formularios de contacto presentes en los sitios web de las organizaciones objetivo.

«DEV-0569 ha utilizado divsas cadenas de infección usando PowerShell y sceuencias de comandos por lotes que finalmente condujeron a la descarga de cargas de malware como ladrones de información o una herramienta legítima de administración remota utilizada para la persistencia en la red», dijo la compañía.

«La herramienta de administración también puede ser un punto de acceso para la puesta en escena y la propagación de ransomware».

También se utiliza una herramienta conocida como NSudo para iniciar programas con privilegios elevados y debilitar las defensas agregando valores de registro que están diseñadas para deshabilitar las soluciones antivirus.

El uso de Google Ads para entregar BATLOADER selectivamente marca una diversificación de los vectores de distribución de DEV-0569, lo que le permite llegar a más objetivos y entregar cargas útiles de malware, dijo la compañía.

Posiciona aún más al grupo para servir como intermediario de acceso inicial para otras operaciones de ransomware, uniéndose a malware como Emotet, IceID y Qakbot.

«Debido a que el esquema de phishing de DEV-0569 abusa de los servicios legítimos, las organizaciones también pueden aprovechar las reglas de flujo de correo para capturar palabras clave sospechosas o revisar amplias excepciones, como las relacionadas con rangos de IP y listas permitidas a nivel de dominio», dijo Microsoft.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.