Los anuncios de Google, una vía para los hackers: Rapid7 desaconseja descargar utilidades de Windows de sitios externos

Los cibercriminales han ideado un elaborado esquema para infectar las redes corporativas con software malicioso. Publican anuncios en motores de búsqueda como Google con enlaces para descargar populares utilidades de Windows. Sin embargo, en lugar de los programas legítimos, las víctimas obtienen archivos maliciosos.

Según un informe de la empresa de ciberseguridad Rapid7 , los atacantes publicaron en Google anuncios que promocionaban sitios falsos para descargar PuTTY y WinSCP. PuTTY es un popular cliente SSH, mientras que WinSCP se utiliza para la transferencia segura de archivos a través de SFTP y FTP. Estos programas son ampliamente utilizados por administradores de sistemas, lo que los convierte en un objetivo valioso para los piratas informáticos.

Los anuncios contenían enlaces a sitios web con nombres de dominio muy similares a los recursos legítimos, como puutty.org, vvinscp.net y otras variantes con errores ortográficos similares. Cuando el usuario hacía clic en el enlace del anuncio, se le ofrecía descargar un archivo ZIP que supuestamente contenía el programa deseado.

Sin embargo, dentro del archivo no se encontraban las utilidades en sí, sino un archivo ejecutable malicioso llamado Setup.exe, disfrazado de instalador de Python. Al ejecutar este archivo, se activaba un complejo mecanismo para inyectar código malicioso a través de la vulnerabilidad DLL Sideloading. Los atacantes reemplazaron la biblioteca legítima python311.dll por su propia versión maliciosa.

La DLL maliciosa descomprimía y ejecutaba un script de Python encriptado que instalaba la peligrosa herramienta Sliver para obtener acceso remoto al sistema. Con su ayuda, los piratas informáticos podían cargar otras utilidades maliciosas como las puertas traseras Cobalt Strike.

Una vez que obtuvieron acceso inicial a la red corporativa, los atacantes robaban datos confidenciales, intentaban obtener control total sobre el controlador de dominio y, finalmente, desplegaban un programa de rescate para cifrar los archivos de la víctima.

Los expertos de Rapid7 señalaron la similitud de esta campaña con ataques recientes que utilizaron el ransomware BlackCat/ALPHV, que fue neutralizado el año pasado. Sin embargo, no se revela la familia específica de ransomware en este caso.

El uso de publicidad falsa en motores de búsqueda para distribuir malware, conocido como malvertising, ha adquirido un carácter masivo en los últimos dos años. Los atacantes han publicado anuncios para software como CPU-Z, Notepad++, Grammarly, μTorrent, Dashlane y muchos otros programas conocidos.

Muy recientemente, los piratas informáticos compraron publicidad con la URL legítima del exchange de criptomonedas Whales Market, pero el enlace conducía a un sitio de phishing para robar criptomonedas de los visitantes. Por lo tanto, este esquema representa una amenaza seria tanto para las empresas como para los usuarios comunes.

Los expertos instan a tener precaución con los enlaces externos para descargar programas, incluso cuando se anuncian en populares motores de búsqueda. La forma preferida sigue siendo descargar el software únicamente desde los sitios web oficiales de los desarrolladores.