È stata rilevata un’attività malevola che utilizza Google Ads in una delle sue campagne per installare e distribuire vari payload post-compromissione, incluso il ransomware Royal, scoperto di recente.
Microsoft, che ha individuato il metodo di consegna del malware alla fine di ottobre 2022, sta monitorando il gruppo di criminali informatici con il nome DEV-0569.
“Gli attacchi DEV-0569 osservati mostrano un modello di continua innovazione con l’incorporazione di nuove tecniche, sistemi di evasione delle difese e vari payload post-compromissione, oltre ad facilitare l’ingresso del ransomware”, ha affermato il team di Microsoft Security Threat Intelligence in un’analisi.
Ransomware diffuso via malvertising
È noto che l’autore della minaccia si affida al malvertising per portare vittime ignare a collegamenti di downloader di malware che si presentano come installatori di software per app legittime come Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams e Zoom.
Il downloader di malware, un ceppo denominato BATLOADER, è un dropper che funge da canale per distribuire i payload della fase successiva. È stato osservato che condivide sovrapposizioni con un altro malware chiamato ZLoader.
Una recente analisi di BATLOADER ha messo in luce la furtività e la persistenza del malware, oltre al suo utilizzo per l’”avvelenamento” dell’ottimizzazione dei motori di ricerca (SEO), con lo scopo di indurre gli utenti a scaricare il malware da siti Web compromessi o domini creati da aggressori.
Altri metodi di contagio
Alternativamente, i collegamenti di phishing vengono condivisi tramite e-mail di spam, pagine di forum falsi, commenti di blog e persino moduli di contatto presenti sui siti Web delle organizzazioni mirate.
“DEV-0569 ha utilizzato varie catene di infezione utilizzando PowerShell e script batch che alla fine hanno portato al download di payload di malware come ladri di informazioni o uno strumento di gestione remota legittimo utilizzato per la persistenza sulla rete”, ha osservato il gigante della tecnologia.
“Lo strumento di gestione può anche essere un punto di accesso per la messa in scena e la diffusione di ransomware.”
Viene utilizzato anche uno strumento noto come NSudo per avviare programmi con privilegi elevati e compromettere le difese aggiungendo valori di registro progettati per disabilitare le soluzioni antivirus.
L’uso di Google Ads per fornire BATLOADER in modo selettivo segna una diversificazione dei vettori di distribuzione del DEV-0569, consentendogli di raggiungere più obiettivi e fornire payload di malware.
Posiziona ulteriormente il gruppo come broker di accesso iniziale per altre operazioni di ransomware, unendosi a malware come Emotet, IcedID, Qakbot.
“Poiché lo schema di phishing di DEV-0569 abusa di servizi legittimi, le organizzazioni possono anche sfruttare le regole del flusso di posta per acquisire parole chiave sospette o rivedere ampie eccezioni, come quelle relative agli intervalli IP e agli elenchi consentiti a livello di dominio”, ha affermato Microsoft.
E Google?
Ovviamente Google non sta a guardare ed è certo che, oltre a mettere fuori gioco le ads incriminate, effettuerà aggiornamenti per fare un giro di vite in tema di cyber security, relegando al passato il problema.
Nel frattempo, come sempre, la raccomandazione è quella di prestare sempre attenzione alle ads e ai siti visitati.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza di sicurezza informatica: