{"id":19877,"date":"2023-10-30T15:46:59","date_gmt":"2023-10-30T18:46:59","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19877"},"modified":"2023-10-30T15:46:59","modified_gmt":"2023-10-30T18:46:59","slug":"malvertisers-usam-anuncios-do-google-para-direcionar-usuarios","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2023\/10\/basico\/malvertisers-usam-anuncios-do-google-para-direcionar-usuarios\/","title":{"rendered":"Malvertisers usam an\u00fancios do Google para direcionar Usu\u00e1rios"},"content":{"rendered":"\n

Malvertisers usam an\u00fancios do Google para direcionar dsu\u00e1rios em busca de software Popular<\/strong><\/p>\n

\u00a0<\/p>\n

Detalhes emergiram sobre uma campanha de malvertising\u00a0que utiliza an\u00fancios do Google para direcionar usu\u00e1rios que buscam por software popular a p\u00e1ginas de destino fict\u00edcias e distribuir payloads de pr\u00f3xima etapa. O Malwarebytes, que descobriu essa atividade, afirmou que ela \u00e9 “\u00fanica em sua capacidade de identificar usu\u00e1rios e distribuir payloads sens\u00edveis ao tempo.”<\/p>\n

\u00a0<\/p>\n

O ataque direciona usu\u00e1rios que buscam o Notepad++ e conversores de PDF para servir an\u00fancios falsos na p\u00e1gina de resultados de busca do Google. Quando clicados, esses an\u00fancios filtram bots e outros endere\u00e7os IP n\u00e3o intencionais, mostrando um site falso.<\/p>\n

\u00a0<\/p>\n

\"malvertising<\/a><\/div>\n

\u00a0<\/p>\n

Caso o visitante seja considerado de interesse para o ator de amea\u00e7a, a v\u00edtima \u00e9 redirecionada para um site de r\u00e9plica que anuncia o software, enquanto silenciosamente identifica o sistema para determinar se a solicita\u00e7\u00e3o est\u00e1 originando de uma m\u00e1quina virtual. Os usu\u00e1rios que n\u00e3o passam na verifica\u00e7\u00e3o s\u00e3o redirecionados para o site leg\u00edtimo do Notepad++, enquanto um poss\u00edvel alvo recebe um ID \u00fanico para “fins de rastreamento, mas tamb\u00e9m para tornar cada download \u00fanico e sens\u00edvel ao tempo.”<\/p>\n

\u00a0<\/p>\n

O malware da etapa final \u00e9 um payload HTA que estabelece uma conex\u00e3o com um dom\u00ednio remoto (“mybigeye[.]icu”) em uma porta personalizada e serve malware subsequente. “Os atores de amea\u00e7a est\u00e3o aplicando com sucesso t\u00e9cnicas de evas\u00e3o que contornam verifica\u00e7\u00f5es de an\u00fancios e permitem que eles atinjam certos tipos de v\u00edtimas”, informou J\u00e9r\u00f4me Segura, diretor de intelig\u00eancia de amea\u00e7as.<\/p>\n

\u00a0<\/p>\n

\"malvertising<\/p>\n

\u00a0<\/p>\n

“Com uma cadeia de entrega confi\u00e1vel de malware em m\u00e3os, os atores maliciosos podem se concentrar em aprimorar suas p\u00e1ginas de engano e criar payloads de malware personalizados.”<\/p>\n

\u00a0<\/p>\n

A divulga\u00e7\u00e3o coincide com uma campanha semelhante que visa usu\u00e1rios que procuram o gerenciador de senhas KeePass com an\u00fancios maliciosos que direcionam as v\u00edtimas para um dom\u00ednio que usa o Punycode (keepass[.]info vs. \u0137eepass[.]info), uma codifica\u00e7\u00e3o especial usada para converter caracteres Unicode em ASCII.<\/p>\n

\u00a0<\/p>\n

\"malvertising<\/p>\n

\u00a0<\/p>\n

“Pessoas que clicam no an\u00fancio ser\u00e3o redirecionadas por meio de um servi\u00e7o de oculta\u00e7\u00e3o destinado a filtrar ambientes isolados, bots e qualquer pessoa que n\u00e3o seja considerada uma v\u00edtima genu\u00edna”, observou o analista de amea\u00e7as J\u00e9r\u00f4me Segura. “Os atores de amea\u00e7a criaram um dom\u00ednio tempor\u00e1rio em keepasstacking[.]site que realiza o redirecionamento condicional para o destino final.”<\/p>\n

\u00a0<\/p>\n

Usu\u00e1rios que acessam o site fake s\u00e3o enganados a fazer o download de um instalador malicioso que, em \u00faltima an\u00e1lise, leva \u00e0 execu\u00e7\u00e3o do FakeBat (tamb\u00e9m conhecido como EugenLoader), um carregador projetado para baixar outro c\u00f3digo malicioso. O abuso do Punycode n\u00e3o \u00e9 totalmente novo, mas combin\u00e1-lo com an\u00fancios fraudulentos do Google \u00e9 um sinal de que o malvertising por meio de mecanismos de busca est\u00e1 se tornando mais sofisticado. Ao usar o Punycode para registrar nomes de dom\u00ednio semelhantes a um site leg\u00edtimo, o objetivo \u00e9 realizar um ataque de hom\u00f3grafo e atrair v\u00edtimas para a instala\u00e7\u00e3o de malware.<\/p>\n

\u00a0<\/p>\n

“Embora o Punycode com nomes de dom\u00ednio internacionalizados seja usado h\u00e1 anos por atores de amea\u00e7a para pescar v\u00edtimas, ele mostra o qu\u00e3o eficaz ele permanece no contexto da falsa representa\u00e7\u00e3o de marcas por meio de malvertising”, confirmou J\u00e9r\u00f4me Segura.<\/p>\n

\u00a0<\/p>\n

Falando sobre truques visuais, v\u00e1rios atores de amea\u00e7a – TA569 (tamb\u00e9m conhecido como SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake e EtherHiding – t\u00eam sido observados aproveitando temas relacionados a atualiza\u00e7\u00f5es falsas de navegadores para propagar o Cobalt Strike, carregadores, roubadores e cavalos de Troia de acesso remoto. Isso \u00e9 um sinal de que esses ataques s\u00e3o uma amea\u00e7a constante e em constante evolu\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

“As atualiza\u00e7\u00f5es falsas do navegador abusam da confian\u00e7a do usu\u00e1rio final com sites comprometidos e um atrativo personalizado para o navegador do usu\u00e1rio, a fim de legitimar a atualiza\u00e7\u00e3o e enganar os usu\u00e1rios a clicarem”, disse o pesquisador da Proofpoint, Dusty Miller, em uma an\u00e1lise publicada esta semana. “A amea\u00e7a est\u00e1 apenas no navegador e pode ser iniciada por um clique de um e-mail leg\u00edtimo e esperado, site de m\u00eddia social, consulta em mecanismo de busca ou at\u00e9 mesmo apenas navegando para o site comprometido.”<\/p>\n

\u00a0<\/p>\n

Essas revela\u00e7\u00f5es destacam a constante evolu\u00e7\u00e3o das t\u00e1ticas empregadas por atores maliciosos e ressaltam a import\u00e2ncia da seguran\u00e7a cibern\u00e9tica para proteger os usu\u00e1rios contra esses tipos de amea\u00e7as. A vigil\u00e2ncia constante e a educa\u00e7\u00e3o do p\u00fablico s\u00e3o fundamentais para mitigar os riscos associados ao malvertising e a outras atividades maliciosas na internet.<\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2023\/10\/malvertisers-using-google-ads-to-target.html<\/a> (Autor: Newsroom)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Malvertisers usam an\u00fancios do Google para direcionar dsu\u00e1rios em busca de software Popular \u00a0 Detalhes emergiram sobre uma campanha de malvertising\u00a0que utiliza an\u00fancios do Google para direcionar usu\u00e1rios que buscam por software popular a p\u00e1ginas de destino fict\u00edcias e distribuir payloads de pr\u00f3xima etapa. O Malwarebytes, que descobriu essa atividade, afirmou que ela \u00e9 “\u00fanica […]<\/p>\n","protected":false},"author":2,"featured_media":19882,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,99],"tags":[],"class_list":["post-19877","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19877"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19877\/revisions"}],"predecessor-version":[{"id":19881,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19877\/revisions\/19881"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19882"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}