Profissionais de TI são alvo de anúncios maliciosos do Google para PuTTY, FileZilla

Uma campanha contínua de malvertising tem como alvo os administradores de TI que desejam baixar utilitários de sistema, como PuTTY (um cliente SSH e Telnet gratuito) e FileZilla (um aplicativo FTP gratuito de plataforma cruzada).

“Reportamos esta campanha ao Google, mas nenhuma ação foi tomada ainda”, compartilhou o pesquisador da Malwarebytes, Jérôme Segura .

A campanha

Anúncios maliciosos veiculados pelo Google , Bing ou outros sites respeitáveis ​​exibem RATs, infostealers, carregadores e outros malwares que geralmente se disfarçam de software legítimo.

Nesta última campanha, pesquisar por “Putty” ou FileZilla” na Pesquisa Google retorna anúncios patrocinados no topo dos resultados de pesquisa, que apontam para páginas de cloaking e, em seguida, para sites enganosos se o servidor detectar tráfego de bot ou rastreador ou possíveis visitas por segurança pesquisadores.

malvertising putty filezilla
Os anúncios maliciosos apontando para domínios de cloaking (Fonte: Malwarebytes)

Se o tráfego parecer vir de uma vítima em potencial, eles serão redirecionados para sites imitadores que se fazem passar por sites legítimos desses projetos de software. Se a vítima baixar o software oferecido, ela receberá o malware Nitrogen.

“O nitrogênio é usado por agentes de ameaças para obter acesso inicial a redes privadas, seguido de roubo de dados e implantação de ransomware como BlackCat/ALPHV”, explica Segura.

“A etapa final nesta cadeia de malvertising consiste em baixar e executar a carga útil do malware. O Nitrogen usa uma técnica conhecida como sideload de DLL, em que um executável legítimo e assinado inicia uma DLL.”

Malvertising: uma ameaça contínua

A malvertising tornou-se uma ameaça tão generalizada que novas campanhas são sinalizadas todos os dias.

O facto de campanhas de malvertising quase idênticas que fornecem nitrogénio a profissionais de TI terem sido repetidamente detectadas no último ano é uma prova da sua eficácia, bem como da resposta ineficaz dos motores de busca ao problema da malvertising.

“Embora existam muitas simulações de treinamento de phishing para ameaças por e-mail, não temos conhecimento de treinamentos semelhantes para malvertising. No entanto, a ameaça tornou-se suficientemente prevalente para garantir uma melhor educação do utilizador”, destacou Segura.

“Os endpoints podem ser protegidos contra anúncios maliciosos por meio de políticas de grupo que restringem o tráfego proveniente das redes de anúncios principais e menos conhecidas.”

Por: Zeljka Zorz, editora-chefe, Help Net Securit