Los investigadores de ciberseguridad han descubierto una campaña malvertida que está dirigida a los anunciantes de Microsoft con anuncios falsos de Google que tienen como objetivo llevarlos a páginas de phishing que son capaces de cosechar sus credenciales.
“Estos anuncios maliciosos, que aparecen en Google Search, están diseñados para robar la información de inicio de sesión de los usuarios que intentan entrar a la plataforma de publicidad de Microsoft”, dijo Jérôme Segura, director senior de investigación en Malwarebytes, en un noticia del jueves.
Los hallazgos se produjeron unas semanas a posteriori de que la compañía de seguridad cibernética expuso una campaña similar que aprovechó los anuncios patrocinados de Google para atacar a las personas y las empresas que se anuncian a través de la plataforma publicitaria del hércules de la búsqueda.
El final conjunto de ataques apunta a los usuarios que buscan términos como “anuncios de Microsoft” en la búsqueda de Google, con la esperanza de engañarlos para que haga clic en enlaces maliciosos que se sirven en forma de anuncios patrocinados en las páginas de resultados de búsqueda.
Al mismo tiempo, los actores de amenaza detrás de la campaña emplean varias técnicas para sortear la detección de herramientas de seguridad. Esto incluye redirigir el tráfico que se origina de VPN a un sitio web de marketing apócrifo. Los visitantes del sitio todavía reciben desafíos de Cloudflare en un intento de filtrar bots.
Por final, pero no menos importante, los usuarios que intentan examinar directamente la página de destino final (“Ads.McRrosoftt (.) Com”) son rickrolled redirigiéndolos a un video de YouTube vinculado a la famosa meme de Internet.
La página de Phishing es una interpretación parecida de su contraparte legítima (“Ads.Microsoft (.) Com”) que está diseñada para capturar las credenciales de inicio de sesión de la víctima y los códigos de autenticación de dos factores (2FA), otorgando a los atacantes la capacidad de secuestrar sus cuentas.
MalwareBytes dijo que identificó una infraestructura de phishing adicional dirigida a cuentas de Microsoft que se remontan a un par de primaveras, lo que sugiere que la campaña ha estado en curso durante algún tiempo y que todavía puede ocurrir sido dirigida a otras plataformas publicitarias como Meta.
Otro aspecto sobresaliente es que la mayoría de los dominios de phishing están alojados en Brasil o tienen el dominio de nivel superior brasileño “.com.Br”, recurriendo a los paralelos a la campaña dirigida a los usuarios de Google ADS, que fue alojado predominantemente en el “. pt “tld.
Hacker News se ha comunicado con Google para hacer comentarios, pero la compañía dijo previamente a The Hacker News que toma medidas para prohibir los anuncios que buscan engañar a los usuarios con el objetivo de robar su información, y que ha estado trabajando activamente para hacer cumplir las contramedidas contra tales esfuerzos.
Los ataques de amordazos se hacen ocurrir por USPS
La divulgación sigue a la aparición de una campaña de phishing SMS que emplea señuelos de entrega de paquetes fallidos para dirigirse exclusivamente a los usuarios de dispositivos móviles al hacerse ocurrir por el Servicio Postal de los Estados Unidos (USPS).
“Esta campaña emplea tácticas sofisticadas de ingeniería social y un medio de ofuscación nunca antaño pasado para ofrecer archivos PDF maliciosos diseñados para robar credenciales y comprometer datos confidenciales”, dijo el investigador de Zimperium Zlabs, Fernando Ortega, en un noticia publicado esta semana.
Los mensajes instan a los destinatarios a desplegar un archivo PDF que acompaña para renovar su dirección para completar la entrega. Presente interiormente del documento PDF hay un llamador “Haga clic en Desempolvar” que dirige a la víctima a una página web de phishing de USPS, donde se les pide que ingresen su dirección postal, dirección de correo electrónico y número de teléfono.
La página de phishing todavía está equipada para capturar los detalles de su plástico de cuota bajo la apariencia de un cargo de servicio por la rediberativa. Los datos ingresados se cifran y se transmiten a un servidor remoto bajo el control del atacante. Hasta 20 PDF maliciosos y 630 páginas de phishing se han detectado como parte de la campaña, lo que indica una operación a gran escalera.
“Los PDF utilizados en esta campaña incrustan los enlaces haciendo clic en utilizar la ceremonial típico /URI, lo que hace que sea más difícil extraer URL durante el disección”, señaló Ortega. “Este método permitió las URL maliciosas conocidas interiormente de los archivos PDF para evitar la detección de varias soluciones de seguridad de punto final”.
La actividad es una señal de que los ciberdelincuentes están explotando las brechas de seguridad en dispositivos móviles para ganar ataques de ingeniería social que capitalizan la confianza de los usuarios en marcas populares y comunicaciones de aspecto oficial.
Los ataques de amortiguamiento con temática similares de USPS todavía han utilizado el iMessage de Apple para entregar las páginas de phishing, una técnica que se sabe que es adoptada por un actor de amenaza de palabra china, sonriendo tríada.
Dichos mensajes todavía intentan hábilmente evitar una medida de seguridad en iMessage que evita que los enlaces se puedan hacer clic a menos que el mensaje sea de un remitente conocido o de una cuenta a la que avala un adjudicatario. Esto se logra al incluir un mensaje “por patrocinio responda a Y” o “Responda a 1” en un intento de desactivar la protección de phishing incorporada de Imessage.
Vale la pena señalar que este enfoque se ha asociado previamente con un kit de herramientas de phishing como servicio (PHAAS) llamado Darcula, que se ha utilizado para dirigirse ampliamente a servicios postales como USP y otras organizaciones establecidas en más de 100 países.
“Los estafadores han construido este ataque relativamente adecuadamente, por lo que probablemente se ve tan a menudo en la naturaleza”, dijo el investigador de la cazadora Truman Kain. “La simple verdad es que está funcionando”.
