- El dominio publicitario de Google se convirtió en la tapadera perfecta para una cadena de distribución de malware
- El malware se activa en línea recreando páginas de empresas falsas utilizando logotipos reales.
- Las cinco fases del ataque se han desvanecido casi por completo en la memoria, sin dejar casi rastro.
Los investigadores de seguridad cibernética advierten sobre una campaña de malware que utiliza la infraestructura publicitaria de Google para disfrazar actividad maliciosa.
La investigación de Huntress encontró que la operación comienza con correos electrónicos no deseados maliciosos que contienen archivos adjuntos HTML diseñados para redirigir a los usuarios a una cadena de infección cuidadosamente estratificada.
La campaña llamó la atención porque el proceso de redireccionamiento pasó inicialmente a través de ad.doubleclick.net, un dominio legítimo de seguimiento y publicidad propiedad de Google y de amplia confianza en todos los sistemas de seguridad.
Las cadenas de malware se esconden detrás de una infraestructura confiable
Este método de enrutamiento es importante porque muchas puertas de enlace de correo electrónico y sistemas de filtrado web rara vez consideran los dominios de anuncios de Google como destinos sospechosos o potencialmente maliciosos.
Los archivos adjuntos casi no contienen contenido significativo más allá de reenviar redireccionamientos ocultos a las víctimas a infraestructura adicional controlada por los atacantes.
Una vez que los usuarios interactúan con la página, la operación se reconstruye dinámicamente utilizando datos que se extrajeron automáticamente de la dirección de correo electrónico del destinatario durante la ejecución.
Una vez que el usuario descarga el archivo adjunto, la cadena de infección pasa rápidamente de técnicas de ingeniería social a la ejecución de malware oculto dentro de Windows.
Los archivos descargados dependen de JScript, PowerShell, carga reflectante de .NET y métodos de ejecución en memoria diseñados para reducir la detección.
El malware evita dejar archivos tradicionales mientras ejecuta varios pasos directamente dentro de la memoria activa.
Esta campaña es convincente porque hace un esfuerzo adicional para crear una marca personalizada, extrayendo automáticamente los logotipos de la empresa de fuentes en línea.
También recopila detalles de ubicación e información de la hora local, lo que ayuda a que las páginas fraudulentas parezcan más creíbles para los destinatarios.
Los investigadores dicen que el malware se centra principalmente en el sigilo.
Huntress identificó una secuencia de cinco etapas que involucra redireccionamientos HTML, cargadores JScript, scripts PowerShell, componentes .NET y la posterior implementación de cargas útiles ocultas adicionales.
El malware busca un entorno de depuración, un sistema sandbox y herramientas de análisis forense antes de continuar con su secuencia de ejecución.
Si detecta estas herramientas, detiene inmediatamente su actividad y, en ocasiones, obliga a los sistemas infectados a reiniciarse. sin mensajes de advertencia adicionales.
Además, el malware interfiere con el monitoreo de seguridad de Windows al alterar el nivel de API nativo y afecta directamente a los sistemas de telemetría AMSI y ETW.
Luego intenta ocultarse inyectando código malicioso en utilidades legítimas firmadas por Microsoft, incluidas InstallUtil.exe y MSBuild.exe.
Esta técnica permite que la operación combine comportamiento malicioso en procesos confiables de Windows que la seguridad empresarial global reconoce como válidos.
También existe una infraestructura de comunicación que se basa en servicios DNS dinámicos y puertos de red no estándar que son capaces de cambiar rápidamente una vez que surgen contramedidas defensivas en otros lugares.
El malware recopiló identificadores de procesador, productos antivirus, información de la placa base y detalles del hardware de los sistemas infectados, incluido el hardware de gráficos fabricado por Nvidia y AMD.
Toda la operación parece estar estructurada para acceso no autorizado a largo plazo, ya que el mecanismo de persistencia reinicia repetidamente procesos maliciosos después de un evento de reinicio o apagado del sistema.
Desafortunadamente, Huntress no identificó definitivamente el objetivo operativo final. Sin embargo, la estructura sugiere preparativos para operaciones masivas de infiltración remota.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
