Bedreigingsactoren maken gebruik van gemanipuleerde zoekresultaten en valse Google-advertenties die gebruikers die legitieme software zoals WinSCP willen downloaden, misleiden om in plaats daarvan malware te installeren.
Cybersecuritybedrijf Securonix volgt de lopende activiteiten onder de naam SEO#LURKER.
“De kwaadaardige advertentie leidt de gebruiker naar een gecompromitteerde WordPress-website gameeweb[.]com, die de gebruiker omleidt naar een door de aanvaller gecontroleerde phishing-site”, zeggen beveiligingsonderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov in een rapport gedeeld met The Hacker News.
Er wordt aangenomen dat de bedreigingsactoren gebruik maken van de dynamische zoekadvertenties (DSA’s) van Google, die automatisch advertenties genereren op basis van de inhoud van een site om kwaadaardige advertenties weer te geven die de slachtoffers naar de geïnfecteerde site leiden.
Het uiteindelijke doel van de complexe, uit meerdere fasen bestaande aanvalsketen is om gebruikers te verleiden om op de nep-achtige WinSCP-website, winccp, te klikken.[.]net en download de malware.
“Verkeer van het gaweeweb[.]com-website naar de nep-winsccp[.]net-website is afhankelijk van het correct instellen van de juiste referrer-header”, aldus de onderzoekers. “Als de referrer onjuist is, wordt de gebruiker ‘Rickrolled’ en wordt hij naar de beruchte Rick Astley YouTube-video gestuurd.”
De uiteindelijke payload heeft de vorm van een ZIP-bestand (“WinSCP_v.6.1.zip”) dat wordt geleverd met een uitvoerbaar installatiebestand dat, wanneer het wordt gestart, DLL-side-loading gebruikt om een DLL-bestand met de naam python311.dll te laden en uit te voeren dat aanwezig is in het archief.
De DLL downloadt op zijn beurt een legitiem WinSCP-installatieprogramma en voert dit uit om de list in stand te houden, terwijl het heimelijk Python-scripts (“slv.py” en “wo15.py”) op de achtergrond laat vallen om het kwaadaardige gedrag te activeren. Het is ook verantwoordelijk voor het opzetten van persistentie.
Beide Python-scripts zijn ontworpen om contact te leggen met een externe, door een acteur bestuurde server om verdere instructies te ontvangen waarmee de aanvallers opsommingsopdrachten op de host kunnen uitvoeren.
“Gezien het feit dat de aanvallers Google Ads gebruikten om malware te verspreiden, kan worden aangenomen dat de doelwitten beperkt zijn tot iedereen die op zoek is naar WinSCP-software”, aldus de onderzoekers.
“De geoblocking die wordt gebruikt op de site waarop de malware wordt gehost, suggereert dat mensen in de VS het slachtoffer zijn van deze aanval.”
Dit is niet de eerste keer dat de dynamische zoekadvertenties van Google worden misbruikt om malware te verspreiden. Eind vorige maand tilde Malwarebytes de deksel op van een campagne die zich richt op gebruikers die op zoek zijn naar PyCharm met links naar een gehackte website waarop een frauduleus installatieprogramma staat dat de weg vrijmaakt voor de inzet van informatiestelende malware.
Malvertising heeft dat wel gedaan gegroeid in populariteit onder cybercriminelen de afgelopen jaren, waarbij de afgelopen maanden talloze malwarecampagnes deze tactiek voor aanvallen hebben gebruikt.
Eerder deze week onthulde Malwarebytes een toename van het aantal creditcard-skimming-campagnes in oktober 2023, die naar schatting honderden e-commercewebsites hebben gecompromitteerd met als doel financiële informatie te stelen door overtuigende valse betaalpagina’s te injecteren.
