La empresa de ciberseguridad Secureworks ha descubierto una nueva variedad de malware que se hace pasar por Google Ads y se está propagando rápidamente.
Conocido como Bumblebee, el malware se descubrió inicialmente hace más de un año y generalmente se propagaba a través de ataques de phishing, pero Secureworks advirtió que el actor detrás de la descarga maliciosa ahora se está volviendo más creativo y saltando a una nueva tendencia.
En el reciente informe Estado de las amenazas de 2022 de Securework, se descubrió un aumento en los ataques de software troyano que se distribuye a través de Google Ads o el envenenamiento de SEO, y Bumblebee es solo uno de los muchos que experimentan con este método cada vez más popular.
Malware Bumblebee a través de Google Ads
Los alcances del malware van mucho más allá del motor de búsqueda, con ejemplos encontrados en muchas aplicaciones comerciales populares como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace. Las víctimas que instalan lo que creen que es software legítimo de las páginas de descarga falsas, luego se infectan con el malware.
El Director de Inteligencia de la firma, Mike McLellan, explicó que hasta el 1% de los anuncios en línea contienen contenido malicioso. McLellan describió el escenario típico durante el cual se ataca a una víctima: en lugar de descargar software a través del equipo de TI de una empresa, muchos trabajadores remotos toman el control y se conectan a Internet sin darse cuenta de los riesgos potenciales.
El informe detalla la descarga de un instalador legítimo de Cisco AnyConnect VPN “que había sido modificado para contener el malware Bumblebee”. Como resultado, el actor de amenazas no solo obtuvo acceso al sistema de la víctima, sino que también implementó herramientas adicionales como Cobalt Strike.
McLellan explica que los nuevos hallazgos solo demuestran cuán importante es que las empresas tengan políticas estrictas para restringir el acceso a los anuncios web y administrar los privilegios en las descargas de software.
Más allá de esto, se recomienda a los trabajadores que creen su propio camino directo al sitio web legítimo en lugar de seguir una secuencia de enlaces o anuncios, o que se eliminen por completo del proceso y soliciten que el equipo de TI de su empresa se haga cargo.