Recentemente, um influencer compartilhou uma thread em seu Twitter, afirmando ter perdido uma grande quantia de seu patrimônio líquido em NFTs e criptomoedas após baixar um software malicioso acidentalmente através de resultados de pesquisa patrocinados de anúncios do Google.
A equipe de pesquisa da ESET, empresa líder em detecção proativa de ameaças, identificou uma nova campanha de malware que se apropria de anúncios falsos para aparecer nos primeiros resultados de pesquisa do Google, levando ao download de instaladores Trojanizados em dispositivos.
Os invasores desconhecidos criaram sites falsos com uma aparência idêntica ao Firefox, WhatsApp e Telegram, mas além de fornecer o software legítimo, eles também baixam o FatalRAT, um Trojan de Acesso Remoto (RAT) que dá ao invasor o controle do computador comprometido.
- Os invasores compraram anúncios para posicionar sites maliciosos na seção “patrocinado” dos resultados de pesquisa do Google. A ESET denunciou esses anúncios ao Google e os removeu imediatamente;
- Os sites e instaladores baixados através desses sites são principalmente em chinês e, em alguns casos, oferecem versões de software falsas que não estão disponíveis na China;
- As vítimas observadas eram majoritariamente do Sudeste e do Leste Asiático, o que sugere que os anúncios foram direcionados para essa região;
- Os ataques foram observados entre o fim de 2022 e início de 2023, mas com base na telemetria ESET, versões mais antigas de instaladores têm sido usadas, pelo menos, desde maio de do último ano;
- Nenhum dos malwares ou infraestrutura de rede usados nesta campanha foi associado a atividades conhecidas de qualquer grupo mencionado, portanto, por enquanto, essa atividade não foi atribuída a nenhum grupo conhecido.
A descrição geral da campanha mostra uma cadeia multicomponente que, eventualmente instala o malware FatalRAT, descrito por pesquisadores da AT&T em agosto de 2021.
Os invasores registraram vários nomes de domínio que apontavam para o mesmo endereço IP – um servidor que hospeda vários sites que baixam programas Trojanizados. Alguns desses sites são cópias idênticos dos legítimos, mas oferecem instaladores maliciosos. Os outros endereços web, possivelmente traduzidos pelos invasores, oferecem versões em chinês de software não disponíveis na China, como o Telegram.
ESET observou sites maliciosos e instaladores para os seguintes aplicativos:
- Chrome
- Firefox
- Telegram
- Line
- Signal
- Skype
- Carteira Bitcoin Electrum
- Sogou Pinyin Method
- Youdao, um aplicativo de tradução e dicionário
- WPS Office, uma suíte office gratuita
“Embora, em teoria, existam muitas maneiras possíveis de direcionar as vítimas em potencial para esses sites falsos, um portal de notícias chinês informou que anúncios que levavam a um desses sites maliciosos estavam sendo exibidos quando pesquisavam “Firefox” no Google. Não conseguimos reproduzir esses resultados de pesquisa, mas acreditamos que os anúncios foram exibidos apenas para usuários na região de destino. Denunciamos os sites ao Google e os anúncios foram removidos”, afirma a equipe de Pesquisa da ESET.
O FatalRAT é um Trojan de acesso remoto que foi documentado em agosto de 2021 pela AT&T Alien Labs. Este malware fornece aos atacantes um conjunto de funcionalidades que permite executar várias atividades maliciosas no computador da vítima. Por exemplo:
- Registrar pressionamentos de tecla;
- Alterar a resolução da tela da vítima;
- Encerre os processos do navegador e roube ou exclua os dados armazenados neles. Os navegadores de destino são:
- Chrome
- Firefox
- Sogou Explorer
- Baixar e executar um arquivo;
- Executar comandos do Shell;
Os criminosos fizeram esforços para tornar os nomes de domínio de sites falsos o mais semelhantes possível aos nomes oficiais. Quanto aos instaladores de trojans, eles fazem o download do aplicativo real que o usuário estava procurando, evitando suspeitas de um possível comprometimento na máquina da vítima.
“Por todas essas razões, vemos como é importante verificar cuidadosamente a URL que estamos visitando antes de baixar o software. Recomenda-se que, depois de verificar se um site é real, digite-o diretamente na barra de endereços do navegador”, aconselha a equipe ESET.
Uma vez que o malware usado nesta campanha contém vários comandos que permitem ao invasor manipular dados de diferentes navegadores, e que as informações das vítimas mostram que eles não parecem estar focados em um determinado tipo de usuário, qualquer um pode ser afetado.
De acordo com a ESET, é possível que os atacantes só estejam interessados em roubar informações, como credenciais da web, para vendê-las em fóruns clandestinos, ou em usar essas informações para outro tipo de campanha maliciosa com fins econômicos, mas por enquanto a atribuição específica desta campanha a um ator de ameaça conhecido ou novo é impossível.
