Abuso de la red publicitaria: los actores de amenazas ahora piratean empresas a través de la búsqueda

En los últimos años, los piratas informáticos han atacado cada vez más a clientes y empresas con software contaminado promocionado a través de anuncios. La receta es sencilla: los grupos de ciberdelincuentes crean sitios web falsos para software de alto interés y los promocionan en la parte superior de la página de resultados mediante anuncios.

Basta una búsqueda y un clic para que un usuario caiga víctima del truco. Prueba de ello es la serie de ataques contra figuras prominentes de la criptomoneda a principios de 2023, así como una reciente oleada de incidentes que Bitdefender investigó en la segunda parte del año.

Este informe se basa en una investigación sobre el uso por parte de actores de amenazas de un archivo ISO malicioso para ofrecer a los usuarios empresariales más de lo que esperaban. Además del software que anunciaba, el archivo ISO malicioso contenía un archivo ZIP con un ejecutable Python y sus dependencias. Una DLL cargada por el proceso python.exe estaba configurada para ejecutar código malicioso en forma de un stager Meterpreter, lo que daba a los atacantes acceso al ordenador de la víctima.

A partir de ese subconjunto de indicadores, los investigadores de Bitdefender pudieron identificar más artefactos relacionados con la misma campaña que parece haber comenzado al menos en mayo de 2023. Los archivos ISO maliciosos se distribuían utilizando anuncios maliciosos que se hacían pasar por páginas de descarga de aplicaciones como AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize y potencialmente más.

La misma campaña parece haber llamado la atención de múltiples investigadores de seguridad, y nos gustaría unirnos a sus esfuerzos compartiendo nuestros propios hallazgos.

Esta campaña de publicidad maliciosa conduce a la propagación de la infección tras la exposición inicial. Mientras permanecen en la red de la víctima, el objetivo principal de los atacantes es obtener credenciales, establecer la persistencia en sistemas importantes y exfiltrar datos, con la extorsión como meta final. También hemos observado intentos de desplegar el ransomware BlackCat.

Resumen de los resultados:

  • • Un actor de amenazas con raíces previas en la ciberdelincuencia ha cambiado sus técnicas de acceso inicial a los anuncios de motores de búsqueda para secuestrar las búsquedas de aplicaciones empresariales como AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize y potencialmente más;
  • • Nuestra investigación muestra que el actor o actores han utilizado con éxito este tipo de ataque desde finales de mayo de 2023.
  • • Según nuestros datos sobre amenazas, los atacantes parecen centrarse exclusivamente en Norteamérica. Hasta ahora, hemos identificado seis en Estados Unidos y una en Canadá.

Indicadores de compromiso

Los usuarios de Bitdefender Advanced Threat Intelligence disponen de una lista completa y actualizada de indicadores de peligro. Los indicadores de riesgo conocidos actualmente pueden consultarse en el siguiente documento técnico.

Descargar el documento de investigación


Publicación más antigua Publicación más reciente