Los investigadores de seguridad cibernética han detectado una nueva campaña publicitaria en la red de anuncios de Google que empuja el malware a los terminales de las víctimas desprevenidas. Lo que hace que esta campaña de publicidad maliciosa sea diferente de otras es el hecho de que el malware que se distribuye es casi imposible de detectar para las soluciones antivirus actuales.
Los actores de amenazas lo hicieron funcionar mediante la creación de un código que solo las máquinas virtuales pueden entender. Si las víctimas ejecutan el malware, la máquina virtual puede volver a traducir el código a su código original y ejecutar el ejecutivo malicioso.
Los investigadores, de SentinelLabs, explican el MO: «Los marcos de virtualización como KoiVM ofuscan los ejecutables al reemplazar el código original, como las instrucciones NET Common Intermediate Language (CIL), con un código virtualizado que solo entiende el marco de virtualización».
Entrega de Formbook
«Un motor de máquina virtual ejecuta el código virtualizado traduciéndolo al código original en tiempo de ejecución».
Este tipo de malware también dificulta el análisis, agregaron los investigadores: «Cuando se le da un uso malicioso, la virtualización hace que el análisis de malware sea un desafío y también representa un intento de evadir los mecanismos de análisis estáticos».
El malware que se distribuye de esta manera es Formbook, un conocido ladrón de información. Su versión virtualizada se denominó «MalVirt». Para engañar a las personas para que descarguen el malware, los actores de amenazas crearon una serie de sitios web falsos, fingiendo ser páginas de destino donde las personas pueden descargar el software Blender 3D.
Blender 3D es un popular programa de modelado, renderizado y animación en 3D.
Esta no es la primera vez que se abusa de la red publicitaria de Google para entregar malware. A fines de diciembre del año pasado, los investigadores detectaron una campaña importante que se hacía pasar por una serie de programas y aplicaciones populares, como Grammarly, MSI Afterburner y Slack, para entregar IceID y Racoon Stealer, ambos conocidos malware de robo de información.
Podría decirse que las campañas maliciosas que llegan a Google Ads son más peligrosas, ya que las personas tienden a confiar en las principales empresas tecnológicas de forma predeterminada. Aún así, la mejor manera de mantenerse seguro es verificar siempre dos veces la dirección del sitio web, independientemente de si se anuncia en Google o no.
Vía: BleepingComputer (se abre en una pestaña nueva)