El envenenamiento del SEO y los ads maliciosos son una herramienta que muchos ciberdelincuentes están utilizando para distribuir malware. Desde principios de diciembre, los operadores de IcedID han estado explotando estas ténicas para atraer a los usuarios a sus sitios falsos. Estos sitios descargan el malware en el equipo víctima. Malvertising a través de Google […]
El envenenamiento del SEO y los ads maliciosos son una herramienta que muchos ciberdelincuentes están utilizando para distribuir malware. Desde principios de diciembre, los operadores de IcedID han estado explotando estas ténicas para atraer a los usuarios a sus sitios falsos.
Estos sitios descargan el malware en el equipo víctima.
Malvertising a través de Google Ads
Los atacantes están seleccionando y clasificando palabras clave utilizadas por marcas y aplicaciones populares para secuestrar anuncios de pago por clic (PPC) de Google, mostrando publicidades maliciosos sobre los resultados de búsqueda orgánicos.
Algunos puntos clave:
En los ataques de publicidad maliciosa, los operadores de IcedID han utilizado varios métodos para dificultar su detección. Algunos de los archivos modificados para actuar como cargadores de IcedID ,son bibliotecas conocidas y ampliamente utilizadas, como tcl86.dll, sqlite3.dll, ConEmuTh.x64.dll y libcurl.dll.
Los archivos MSI o instaladores modificados por IcedID son casi idénticos a la versión legítima, lo que hace que la detección sea un desafío para los motores de detección de aprendizaje automático y los sistemas de listas blancas.
En los últimos meses, los ciberdelincuentes han utilizado IcedID para obtener acceso inicial, establecer persistencia en el host y realizar otras operaciones fraudulentas.
Los actores de amenazas afiliados al grupo de ransomware Play, están aprovechando una cadena de explotación que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server, logrando así la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).
Los ciberdelincuentes utilizan cada vez más los XLL como vector de infección en sus ataques. Existen varios métodos, como funciones de manejo de eventos en archivos de Excel para iniciar archivos XLL automáticamente, así como la explotación de las vulnerabilidades de los archivos XLL para atacar a sus víctimas.