Los actores de amenazas están aprovechando resultados de búsqueda manipulados y anuncios falsos de Google que engañan a los usuarios que buscan descargar software legítimo como WinSCP para que instalen malware.
En una inquietante revelación, la empresa de ciberseguridad Securonix está siguiendo de cerca la actividad maliciosa bajo el nombre SEO#LURKER. Los expertos han descubierto que anuncios engañosos de Google están llevando a los usuarios de WinSCP a un peligroso juego en línea.
El proceso comienza cuando los usuarios son dirigidos a un sitio web comprometido de WordPress, gameeweb[.]com, a través de un anuncio malicioso. Desde allí, son redirigidos a un sitio de phishing controlado por los atacantes. Los astutos ciberdelincuentes aprovechan los anuncios de búsqueda dinámica de Google para generar automáticamente anuncios basados en el contenido del sitio, atrayendo a las víctimas hacia el sitio infectado.
La cadena de ataque culmina en un intento de hacer que los usuarios descarguen malware desde el falso sitio web WinSCP, winccp[.]net. Para darle un toque irónico, si el encabezado de referencia no es correcto, el usuario es “Rickrolled” y redirigido al famoso vídeo de Rick Astley en YouTube.
La carga útil final se presenta como un archivo ZIP (“WinSCP_v.6.1.zip”) que contiene un ejecutable de configuración. Al ejecutarse, utiliza carga lateral de DLL para cargar y ejecutar un archivo DLL llamado python311.dll. Esta DLL, a su vez, descarga y ejecuta un instalador legítimo de WinSCP para ocultar la verdadera intención maliciosa. Además, despliega silenciosamente scripts de Python en segundo plano para activar comportamientos maliciosos y establecer la persistencia.
Los expertos señalan que los scripts de Python se conectan a un servidor remoto controlado por los atacantes para recibir instrucciones adicionales. Este sofisticado ataque tiene como objetivo a aquellos que buscan software WinSCP, limitándose geográficamente a los usuarios en los EE. UU.
No es la primera vez que los anuncios dinámicos de búsqueda de Google son explotados para distribuir malware. La táctica de publicidad maliciosa ha ganado popularidad, y recientemente, se ha utilizado en campañas para atacar a usuarios que buscan software específico.
La ciberseguridad sigue siendo una preocupación crítica, y los usuarios deben permanecer alerta ante amenazas como esta. ¡Protege tu sistema y comparte esta advertencia para prevenir más víctimas de SEO#LURKER!”
fuente:thehackernews