Brokerzy dostępu do ransomware używają reklam Google do włamania do Twojej sieci

Osoba z uśmiechniętą twarzą

Aktor cyberprzestępczy śledzony jako DEV-0569 wykorzystuje Google Ads w szeroko zakrojonych, trwających kampaniach reklamowych w celu dystrybucji złośliwego oprogramowania, kradzieży haseł ofiar, a ostatecznie włamywania się do sieci w celu ataków ransomware.

W ciągu ostatnich kilku tygodni badacze cyberbezpieczeństwa MalwareHunterTeam, Germán Fernández i Will Dormann zilustrowali, w jaki sposób wyniki wyszukiwania Google stały się wylęgarnią złośliwych reklam promujących złośliwe oprogramowanie.

Reklamy te udają strony internetowe popularnych programów, takich jak LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR i VLC.

Reklamy Google promujące fałszywe witryny z oprogramowaniem wypychają złośliwe oprogramowanie
Reklamy Google promujące fałszywe witryny z oprogramowaniem wypychają złośliwe oprogramowanie
Źródło: Badacze/BleepingComputer

Kliknięcie reklam prowadzi odwiedzających do witryn, które wyglądają jak portale pobierania lub repliki legalnych witryn oprogramowania, jak pokazano poniżej.

Fałszywa witryna pobierania Rufusa
Fałszywa witryna pobierania Rufusa
źródło: BleepingComputer

Jednak po kliknięciu łącza pobierania zwykle pobierany jest plik MSI, który instaluje różne złośliwe oprogramowanie w zależności od kampanii.

Lista złośliwego oprogramowania zainstalowanego dotychczas w tych kampaniach obejmuje RedLine Stealer, Gozi/Ursnif, Vidar oraz potencjalnie Cobalt Strike i ransomware.

Chociaż wydaje się, że wielu cyberprzestępców wykorzystuje platformę Google Ads do dystrybucji złośliwego oprogramowania, wyróżniają się dwie konkretne kampanie, ponieważ ich infrastruktura była wcześniej powiązana z atakami ransomware.

Od reklam Google po ataki ransomware

W lutym 2022 r. Mandiant odkrył kampanię dystrybucji złośliwego oprogramowania wykorzystującą zatruwanie SEO w celu uszeregowania witryn udających popularne oprogramowanie w wynikach wyszukiwania.

Jeśli użytkownik zainstalowałby oprogramowanie oferowane z tych stron, uruchomiłby nowy program do pobierania złośliwego oprogramowania o nazwie BatLoader, który uruchamia wieloetapowy proces infekcji, który ostatecznie zapewnia cyberprzestępcom wstępny dostęp do sieci ofiar.

Później tego samego roku Microsoft poinformował, że cyberprzestępcy stojący za BatLoaderem, śledzeni jako DEV-0569, zaczęli wykorzystywać reklamy Google do promowania swoich złośliwych witryn. Co gorsza, Microsoft powiedział, że te infekcje ostatecznie doprowadziły do ​​wdrożenia Royal Ransomware w naruszonych sieciach.

Warto przeczytać!  Elon Musk przeprowadza ankietę na Twitterze, czy powinien zrezygnować ze stanowiska dyrektora generalnego (a wynik jest twierdzący)

„Niedawna aktywność cyberprzestępcy, którego Microsoft śledzi jako DEV-0569, znanego z dystrybucji różnych ładunków, doprowadziła do wdrożenia oprogramowania ransomware Royal, które po raz pierwszy pojawiło się we wrześniu 2022 r. ich raport.

Badacze uważają, że DEV-0569 jest brokerem dostępu początkowego, który wykorzystuje swój system dystrybucji szkodliwego oprogramowania do włamywania się do sieci korporacyjnych. Wykorzystują ten dostęp we własnych atakach lub sprzedają go innym złośliwym podmiotom, takim jak gang ransomware Royal.

Chociaż Microsoft nie udostępnił wielu adresów URL związanych z tymi atakami, dalsze raporty TheFIR i eSentire dodały więcej informacji, w tym następujące adresy URL używane w kampaniach BatLoadera:

bitbucket[.]org/ganhack123/load/downloads sprawdź reklamy[.]com (używany do śledzenia statystyk reklam Google)

Szybko do 21 stycznia 2023 r., kiedy badacz CronUp, Germán Fernández, zauważył, że ostatnie reklamy Google promujące popularne oprogramowanie prowadziły do ​​złośliwych stron wykorzystujących infrastrukturę obsługiwaną przez cyberprzestępców DEV-0569.

1/ DEV-0569, obecna dystrybucja za pośrednictwem #GoogleAds.

1.- #Gozi aka #Ursnif (bot)
2.- #RedLine (złodziej)
A jeśli warunki są odpowiednie, być może:
3.- #CobaltStrike (C2)
4.- #Royal Ransomware

(Koniec z BatLoaderem w łańcuchu infekcji) pic.twitter.com/mYp8hSU7FH

— Germán Fernandez (@1ZRR4H) 21 stycznia,

Podczas gdy złośliwe instalatory w tej kampanii nie używają już BatLoadera, podobnie jak poprzednie kampanie obserwowane przez Microsoft, instalują narzędzie do kradzieży informacji (RedLine Stealer), a następnie narzędzie do pobierania złośliwego oprogramowania (Gozi/Ursnif).

W obecnej kampanii RedLine służy do kradzieży danych, takich jak hasła, pliki cookie i portfele kryptowalut, podczas gdy Gozi/Ursnif służy do pobierania kolejnych złośliwych programów.

Warto przeczytać!  Recenzja Sennheiser Ambeo Soundbar Plus: nie uwierzysz własnym uszom

Fernández powiedział BleepingComputer, że połączył te nowe kampanie z DEV-0569, ponieważ korzystały z tego samego repozytorium bitbucket i sprawdzania reklam[.]com używany w zgłoszonych kampaniach z listopada/grudnia 2022 r.

Fernández nie czekał wystarczająco długo, aby sprawdzić, czy Cobalt Strike i Royal Ransomware zostaną zainstalowane. Powiedział jednak BleepingComputer, że wierzy, że hakerzy ostatecznie wykorzystają infekcję Gozi do usunięcia Cobalt Strike, tak jak zrobił to BatLoader w poprzednich kampaniach.

Fernández uzyskał również dostęp do panelu internetowego DEV-0569 używanego do śledzenia ich kampanii dystrybucji złośliwego oprogramowania i udostępnił zrzuty ekranu na Twitterze. Te zrzuty ekranu pokazywały legalne programy, pod które się podszywają, oraz liczne ofiary na całym świecie, które były codziennie infekowane.

Zapytany, ile osób zostało zainfekowanych tą kampanią na podstawie statystyk panelu internetowego, powiedział, że można tylko oszacować liczbę.

„Czyszczą dane panelu każdego dnia kampanii, ale są dane, które mogą dać nam wyobrażenie, jest to skorelowany identyfikator rekordów (może to być szacunkowa wartość liczby ofiar tego panelu, w tym przypadku ostatnia dzisiejsza wartość to 63576)”, powiedział Fernández BleepingComputer.

Kolejna kampania powiązana z ransomware CLOP

Co gorsza, Fernández odkrył, że inna, ale podobna kampania reklamowa Google wykorzystywała infrastrukturę używaną wcześniej przez grupę zagrożeń śledzoną jako TA505, znaną z dystrybucji ransomware CLOP.

W tej kampanii reklamowej Google cyberprzestępcy rozpowszechniają złośliwe oprogramowanie za pośrednictwem stron internetowych udających popularne oprogramowanie, takich jak AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe i, co dziwne, stron internetowych z formularzami W-9 IRS.

Lista domen w tej kampanii śledzonych przez CronUp jest dostępna na tej stronie GitHub.

Warto przeczytać!  NASA pomyślnie manewruje Orionem na docelową orbitę wokół Księżyca

Gdy złośliwe oprogramowanie z tej kampanii zostanie zainstalowane, uruchomi skrypt PowerShell, który pobierze i wykona bibliotekę DLL ze strony internetowej download-cdn[.]com, z którego wcześniej korzystał TA505.

Skrypt PowerShell do pobierania złośliwego oprogramowania
Skrypt PowerShell do pobierania złośliwego oprogramowania
źródło: BleepingComputer

Jednak badacz zagrożeń Proofpoint, Tommy Madjar, powiedział BleepingComputer, że ta domena zmieniła właściciela w przeszłości i nie jest jasne, czy TA505 nadal jej używa.

Niezależnie od tego, kto jest właścicielem tych domen, duża liczba złośliwych reklam Google wyświetlanych w wynikach wyszukiwania staje się ogromnym problemem zarówno dla konsumentów, jak i przedsiębiorstw.

Ponieważ kampanie te są wykorzystywane do uzyskiwania wstępnego dostępu do sieci korporacyjnych, mogą one prowadzić do różnych ataków, takich jak kradzież danych, oprogramowanie ransomware, a nawet destrukcyjne ataki mające na celu zakłócenie działalności firmy.

Chociaż firma BleepingComputer nie skontaktowała się z Google w sprawie tego artykułu, skontaktowaliśmy się z nią w zeszłym tygodniu w sprawie podobnej kampanii złośliwego oprogramowania rozpowszechnianej za pośrednictwem reklam Google.

Google poinformowało nas wówczas, że zasady platformy są zaprojektowane i egzekwowane w celu zapobiegania podszywaniu się pod markę.

„Mamy solidne zasady zabraniające reklam, które próbują ominąć nasze egzekwowanie prawa poprzez ukrywanie tożsamości reklamodawcy i podszywanie się pod inne marki, i energicznie je egzekwujemy. Sprawdziliśmy reklamy, o których mowa, i usunęliśmy je” – powiedział Google BleepingComputer.

Dobrą wiadomością jest to, że Google usuwa reklamy, gdy są zgłaszane i wykrywane.

Zła wiadomość jest taka, że ​​cyberprzestępcy nieustannie uruchamiają nowe kampanie reklamowe i nowe witryny, co sprawia, że ​​jest to gigantyczna gra polegająca na walnięciu kreta i nie wydaje się, aby Google wygrywało.