Se ha descubierto una vez más que los piratas informáticos abusan de Google Ads para entregar malware (se abre en una pestaña nueva) – esta vez, atacando objetivos de habla china que viven en el sudeste y este de Asia.
Los expertos en seguridad cibernética de ESET descubrieron que actores de amenazas no identificados crearon varias páginas de inicio maliciosas, todas haciéndose pasar por programas importantes, incluidos algunos que no están disponibles en China, como Firefox, WhatsApp, Signal, Skype y Telegram.
Todas las páginas de destino están alojadas en el mismo servidor, que también aloja los programas. Pero al descargar la carga útil, las víctimas obtendrían tanto el software legítimo como FatalRAT, un troyano de acceso remoto que permite a los actores de amenazas controlar el punto final de destino.
rata fatal
FatalRAT es capaz de hacer todo tipo de cosas desagradables: registrar pulsaciones de teclas, robar datos almacenados en los navegadores y descargar y ejecutar programas adicionales. Los investigadores dijeron que esta versión del troyano ha estado en uso al menos desde agosto de 2022, pero las versiones anteriores estaban en uso incluso antes, en mayo.
Para distribuir el malware, los atacantes abusaron de Google Ads, lo que significa que cuando alguien busca cualquiera de los programas mencionados anteriormente en el famoso motor de búsqueda, obtendría las páginas de destino maliciosas muy arriba en las páginas de resultados de búsqueda.
Los investigadores no pudieron reproducir los resultados de la búsqueda, pero afirman que los piratas informáticos probablemente estaban involucrados en el secuestro de URL:
“Aunque no pudimos reproducir tales resultados de búsqueda, creemos que los anuncios solo se mostraron a los usuarios en la región objetivo”, dijo Matías Porolli, investigador de ESET. “Dado que muchos de los nombres de dominio que los atacantes registraron para sus sitios web son muy similares a los dominios legítimos, también es posible que los atacantes confíen en el secuestro de URL para atraer víctimas potenciales a sus sitios web”, agregó.
También se desconoce el final del juego de los piratas informáticos, dijeron los investigadores, especulando que podrían estar solo detrás de las credenciales, para venderlas con fines de lucro.