Novo malware distribui-se em publicidade da Google e Bing
De tempos a tempos surgem campanhas de malware que se propagam de forma diferente, e a mais recente do malware conhecido como “Nitrogen” é um exemplo disso.
O Nitrogen é um malware que foi confirmado como estando bastante ativo nos últimos dias pela empresa de segurança Sophos. Segundo a mesma, este malware, depois de instalado no sistema, realiza diversas medidas para infetar o sistema com ransomware do grupo BlackCat/ALPHV.
O malware parece focado para empresas nos EUA, sendo que se faz passar como os programas AnyDesk, Cisco AnyConnect VPN, TreeSize Free, e WinSCP. No entanto, a forma como o mesmo se distribui será o ponto a ter em conta, uma vez que este usa campanhas de publicidade no Google Ads e no Bing para surgir nos primeiros resultados de pesquisa para termos regulares de pesquisa destes programas.
O esquema tenta enganar os utilizadores que procurem nos motores de pesquisa pelo software, levando os mesmos para resultados de sites em controlo dos atacantes, onde estão a ser descarregadas versões com malware dos programas.
Como a publicidade da Google e do Bing surge no topo dos resultados, os utilizadores podem pensar estar a aceder ao site verdadeiro, quando na verdade estão a aceder a uma cópia falsa com o programa modificado para integrar o malware.
Ao mesmo tempo, os sites usados para a campanha são capazes de identificar quando os utilizadores acedem via uma pesquisa ou diretamente. Se o utilizador aceder por intermédio de uma pesquisa, é apresentado o conteúdo para o tentar enganar – mas caso se tente aceder diretamente ao domínio, os utilizadores são redirecionados para o YouTube.
Isto permite que os atacantes possam também direcionar as campanhas de malware para países específicos – se os utilizadores não se encontrarem num pais que esteja como sendo o alvo, são redirecionados para conteúdos diferentes.
Caso seja instalado no sistema, o malware começa por se configurar para ser executado a cada cinco minutos, e para persistir no sistema mesmo se removidos os ficheiros do mesmo. Feito isto, procede com o download do ransomware, que começa então a encriptação e roubo dos dados.
Uma das formas de se evitar este género de ataques passa por evitar o acesso a links promovidos nos resultados de pesquisa, e verificando sempre o site de onde se encontra a descarregar o conteúdo, e se corresponde à localização esperada.