Η κακόβουλη οντότητα DEV-0569 έχει παρατηρηθεί ότι εκμεταλλεύεται τα Google ads για ευρείας κλίμακας, συνεχείς εκστρατείες για τη διανομή κακόβουλου λογισμικού και την κλοπή κωδικών πρόσβασης αθώων θυμάτων. Απώτερος στόχος είναι η παραβίαση δικτύων προκειμένου να πραγματοποιήσει επιθέσεις ransomware.
Δείτε επίσης: Cisco: Πάνω από 19.000 end-of-life router εκτεθειμένα σε RCE επιθέσεις
Τις τελευταίες εβδομάδες, οι ερευνητές κυβερνοασφάλειας MalwareHunterTeam, Germán Fernández και Will Dormann ανακάλυψαν ότι τα αποτελέσματα αναζήτησης της Google περιλαμβάνουν πλέον πολλές επικίνδυνες διαφημίσεις που προωθούν κακόβουλο λογισμικό.
Αυτές οι διαφημίσεις προσποιούνται ότι είναι ιστότοποι για δημοφιλή προγράμματα λογισμικού, όπως LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR και VLC.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Κάνοντας κλικ στις διαφημίσεις, οι επισκέπτες μεταφέρονται σε ύποπτους ιστότοπους που μοιάζουν είτε με πύλες λήψης είτε με εικονικά αντίγραφα των νόμιμων ιστότοπων του αρχικού λογισμικού τους.
Ωστόσο, όταν κάνετε κλικ στους συνδέσμους λήψης, δυστυχώς, συχνά πρόκειται για ένα αρχείο MSI που θα εγκαταστήσει κακόβουλο λογισμικό επηρεασμένο από οποιαδήποτε εκστρατεία είναι ενεργή.
Μέχρι σήμερα, οι επιθέσεις αυτές έχουν συμπεριλάβει κακόβουλο κώδικα όπως οι RedLine Stealer, Gozi/Ursnif, Vidar και μάλλον Cobalt Strike και ransomware.
Ενώ πολλοί κακόβουλοι φορείς έχουν αξιοποιήσει την πλατφόρμα Google Ads για τη διάδοση κακόβουλου λογισμικού, δύο ιδιαίτερα κακόβουλες εκστρατείες είναι ιδιαίτερα αξιοσημείωτες λόγω των δεσμών της υποδομής τους με προηγούμενες επιθέσεις ransomware.
Δείτε επίσης: 75.000 WordPress sites επηρεάζονται από κρίσιμα flaws στο plugin LearnPress
Από τα Google ads σε ransomware επιθέσεις
Τον Φεβρουάριο του 2022, η Mandiant αποκάλυψε μια προσπάθεια διάδοσης κακόβουλου λογισμικού που χρησιμοποιούσε το SEO poisoning για να ενισχύσει την κατάταξη στις μηχανές αναζήτησης των ιστότοπων που μεταμφιέζονται σε διάσημο λογισμικό.
Η εγκατάσταση του λογισμικού σε αυτές τις σελίδες θα ενεργοποιούσε ένα κακόβουλο πρόγραμμα λήψης, το οποίο προσδιορίζεται ως BatLoader, το οποίο θα ξεκινούσε μια διαδικασία μόλυνσης πολλαπλών σταδίων και θα παρείχε στους φορείς απειλών πρόσβαση στα δίκτυα των θυμάτων τους.
Την ίδια χρονιά, η Microsoft ανακάλυψε την DEV-0569 που εκμεταλλευόταν τις διαφημίσεις Google Ads για να διαφημίζει τις κακόβουλες ιστοσελίδες και εφαρμογές του. Για να γίνουν τα πράγματα χειρότερα, διαπίστωσαν ότι αυτές οι επιθέσεις είχαν ως αποτέλεσμα να μολυνθούν τα δίκτυα με το Royal Ransomware.
Η Microsoft ανέφερε πρόσφατα σε ανακοίνωσή της ότι ο απειλητικός παράγοντας DEV-0569 έχει συνδεθεί με πολλαπλές εφαρμογές του Royal ransomware, το οποίο εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο του 2022. Η ομάδα πιστεύεται ότι είναι υπεύθυνη για τη διανομή διαφόρων payloads και μπορεί να έχει προκαλέσει σημαντική ζημιά μέχρι τώρα, αν δεν αντιμετωπιστεί γρήγορα.
Σύμφωνα με τους επιστήμονες, η DEV-0569 είναι ένας διαβόητος initial access broker που χρησιμοποιεί το σύστημα διανομής κακόβουλου λογισμικού για να παραβιάζει εταιρικά δίκτυα. Αυτό το πάτημα στη συνέχεια τους παρέχει είτε τα μέσα για τις δικές τους επιθέσεις είτε μια ευκαιρία να πουλήσουν τη δύναμη διείσδυσης με αντάλλαγμα κέρδη – μια δημοφιλής διαδρομή με τη συμμορία Royal ransomware.
Η Microsoft αρνήθηκε να παράσχει την πλειονότητα των διευθύνσεων URL που σχετίζονται με αυτές τις κυβερνοεπιθέσεις, ωστόσο η TheFIR και η eSentire κατάφεραν να συμπληρώσουν αυτές τις πληροφορίες αποκτώντας επιπλέον διευθύνσεις URL που χρησιμοποιήθηκαν στις κακόβουλες εκστρατείες του BatLoader:
Στις 21 Ιανουαρίου 2023 ο ερευνητής της CronUp Germán Fernández παρατήρησε ότι πρόσφατα Google ads που διαφήμιζαν δημοφιλές λογισμικό οδηγούσαν σε κακόβουλους ιστότοπους που διαχειρίζονταν οι απειλητικοί φορείς DEV-0569.
Σε αντίθεση με τις καμπάνιες που παρακολουθούνται από τη Microsoft, αυτή η κακόβουλη καμπάνια δεν χρησιμοποιεί το BatLoader- ωστόσο, εξακολουθεί να εγκαθιστά ένα πρόγραμμα κλοπής δεδομένων (RedLine Stealer) και ένα πρόγραμμα λήψης κακόβουλου λογισμικού (Gozi/Ursnif).
Στην τρέχουσα καμπάνια, το RedLine χρησιμοποιείται για την κλοπή δεδομένων, όπως κωδικούς πρόσβασης, cookie και πορτοφόλια κρυπτονομισμάτων, ενώ το Gozi/Ursnif χρησιμοποιείται για τη λήψη περαιτέρω κακόβουλου λογισμικού.
Σύμφωνα με τον Fernández, οι πρόσφατες επιθέσεις συνδέονται με την DEV-0569 επειδή και οι δύο χρησιμοποιούν το ίδιο bitbucket repository και το ads-check[.]com URL – το οποίο εντοπίστηκε και στις εκστρατείες του Νοεμβρίου/Δεκεμβρίου 2022.
Πηγή πληροφοριών: bleepingcomputer.com