Quem gosta de anúncios? Bem, agora você tem mais um motivo para questionar o Google ADS. Dessa vez, a Microsoft alertou que hackers estão usando anúncios para espalhar o Royal Ransomware.
O que a Microsoft sabe sobre o Royal Ransomware
Cibercriminosos foram vistos usando o Google Ads em uma de suas campanhas para distribuir o Royal Ransomware. A responsável pela descoberta foi a Microsoft, que encontrou este método na última semana de outubro.
Até o momento, ela está seguindo o grupo apelidado DEV-0569. Desse modo, a equipe de Inteligência de Ameaças de Segurança da Microsoft destaca que:
“Os ataques observados do DEV-0569 mostram um padrão de inovação contínua, com incorporação regular de novas técnicas de descoberta, evasão de defesa e várias cargas úteis pós-compromisso, além de aumentar a facilitação de ransomware”
Segundo a equipe da Microsoft, o agente de ameaças precisa de pessoas com má intenções na rede, que apontem vítimas inocentes para links de downloads do malware. O instalador se passa por aplicativos legítimos, como Zoom, Microsoft Teams e Adobe Flash Player, por exemplo.
Como ressalta o Bleeping Computer, o downloader de malware, é um tipo conhecido como LOTE. Desse modo, ele age como um conta-gotas que vai ser um dos meios de distribuição de “cargas úteis” (para o crime) do próximo estágio.
Além do Google Ads: o uso de mecanismos de buscas
Uma análise recente do malware BATLOADER feita pela eSentire e VMware, constatou que ele não é apenas persistente. Ele também tem usado otimização de mecanismo de busca (SEO) para alcançar vítimas que baixem o malware de sites comprometidos ou de autoria dos criminosos.
Como alternativa, também envia links de phishing por meio de e-mails de spam, páginas de fórum falsas, comentários de blog e outros meios de contato. O uso do Google Ads para entrar no BATLOADER, sem dúvidas, aumenta a distribuição do DEV-0569, permitindo que ele faça mais alvos. Por fim, a Microsoft afirma que:
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui
“Como o esquema de phishing do DEV-0569 abusa de serviços legítimos, as organizações também podem alavancar regras de fluxo de correio para capturar palavras-chave suspeitas ou revisar amplas exceções, como aqueles relacionados a intervalos de IP e listas de permissões no nível do domínio”.
Com informações: The Hacker News