Utvrđeno je da je nedavna maliciozna kampanja fokusirana na korporativne korisnike koji preuzimaju široko korištenu aplikaciju za web konferencije, Webex. U ovoj kampanji, zlonamjerni hakeri su kupili reklamu koja oponaša Cisco brendiranje, a pojavljuje se kao najbolji rezultat prilikom vršenja Google pretrage.
Uronimo u detalje
Oglas se na prvi pogled čini potpuno legitimnim, sadrži i Webex logo i službenu web stranicu. Međutim, ako kliknete na meni desno od oglasa, pronaći ćete dodatne detalje koji otkrivaju da je oglašivač pojedinac iz Meksika, što je malo vjerovatno da će biti povezano sa Cisco-om.
- Hakeri iskorištavaju slabost u Google Adsu poznatu kao template za praćenje. Prema Google-u, template za praćenje je mjesto gdje se postavljaju informacije o praćenju URL-a, nudeći oglašivačima vrijedne metrike. Ipak, istraživači otkrivaju da se može iskoristiti i kao mehanizam za filtriranje i preusmjeravanje.
- MSI instaler je opremljen anti-sandbox funkcijama i radiće samo u određenim okruženjima. Pokreće više procesa, uključujući PowerShell, i instalira BatLoader iz lokalnog izvora. BatLoader, zauzvrat, ispušta DanaBot.
Treba napomenuti da sam Webex nije kompromitovan; umjesto toga, hakeri imitiraju renomirane brendove kako bi implementirali malware.
Neke najnovije zlonamjerne kampanje
- Prije nekoliko dana, istraživači su otkrili novu malicioznu kampanju koja koristi poruke Microsoft Teams za distribuciju DarkGate Loadera. Kampanja je počela u avgustu.
- Nova verzija malware-a Atomic macOS Stealer (AMOS), ciljanog na korisnike macOS-a, otkrivena je u kampanji zlonamjernog oglašavanja koja obmanjuje korisnike koji traže softver na Googleu. Distribuisan je putem krekovanog softvera za aplikaciju TradingView.
Zaključak
Malvertising ostaje stalna prijetnja, prvenstveno usmjerena na korporativne korisnike, često iskorištavajući popularne pretraživače poput Googlea. Malware kao što je BatLoader radi tajno i može izbjeći otkrivanje od strane konvencionalnih antivirusnih programa. Treba implementirati sveobuhvatnu strategiju odbrane, kao što je uparivanje EDR-a sa uslugom MDR-a, koja uključuje ljudske analitičare koji analiziraju sumnjive aktivnosti.
Izvor: Cyware Alerts – Hacker News