Los operadores del malware IcedID están posicionando anuncios maliciosos en Google

El envenenamiento del SEO y los ads maliciosos son una herramienta que muchos ciberdelincuentes están utilizando para distribuir malware. Desde principios de diciembre, los operadores de IcedID han estado explotando estas ténicas para atraer a los usuarios a sus sitios falsos. Estos sitios descargan el malware en el equipo víctima. Malvertising a través de Google […]

El envenenamiento del SEO y los ads maliciosos son una herramienta que muchos ciberdelincuentes están utilizando para distribuir malware. Desde principios de diciembre, los operadores de IcedID han estado explotando estas ténicas para atraer a los usuarios a sus sitios falsos.

Estos sitios descargan el malware en el equipo víctima.

Malvertising a través de Google Ads

Los atacantes están seleccionando y clasificando palabras clave utilizadas por marcas y aplicaciones populares para secuestrar anuncios de pago por clic (PPC) de Google, mostrando publicidades maliciosos sobre los resultados de búsqueda orgánicos.

Algunos puntos clave:

• Investigadores de Trend Micro revelaron que los atacantes están secuestrando palabras clave utilizadas por Adobe, AnyDesk, Brave Browser, Chase Bank, Discord, Fortinet, GoTo, Teamviewer, Thunderbird, el Servicio de Impuestos Internos (IRS) de Estados Unidos y otros.
  
• Los atacantes abusan del sistema de dirección de tráfico (TDS) legítimo de Keitaro para filtrar el tráfico de investigadores y sandbox, y redirigir a las víctimas potenciales a páginas web clonadas de marcas legítimas y aplicaciones conocidas.
  
• Si un usuario hace clic en el botón Descargar, se descargará en el sistema del usuario un archivo ZIP que contiene un instalador de software de Microsoft (MSI) malicioso o un archivo de Windows Installer.
  
• El archivo funciona como un cargador inicial, recupera el núcleo del bot y, en última instancia, suelta una carga útil de puerta trasera.
  

En los ataques de publicidad maliciosa, los operadores de IcedID han utilizado varios métodos para dificultar su detección. Algunos de los archivos modificados para actuar como cargadores de IcedID ,son bibliotecas conocidas y ampliamente utilizadas, como tcl86.dll, sqlite3.dll, ConEmuTh.x64.dll y libcurl.dll.

Los archivos MSI o instaladores modificados por IcedID son casi idénticos a la versión legítima, lo que hace que la detección sea un desafío para los motores de detección de aprendizaje automático y los sistemas de listas blancas.

En los últimos meses, los ciberdelincuentes han utilizado IcedID para obtener acceso inicial, establecer persistencia en el host y realizar otras operaciones fraudulentas.