Campanha de malvertising atrai usuários com anúncio falso do Microsoft Teams
Uma nova campanha sofisticada de malvertising está direcionando usuários do macOS que procuram pelo Microsoft Teams, refletindo a intensificação da concorrência entre criadores de malware no ecossistema macOS. Esta ameaça recente, que utiliza o malware Atomic Stealer, segue de perto o projeto Poseidon (OSX.RodStealer), demonstrando avanços nas ameaças voltadas para o macOS.
Técnicas Avançadas de Evasão
A campanha maliciosa, ativa por vários dias, empregou técnicas avançadas de filtragem para evitar detecção. O anúncio enganoso aparecia como o principal resultado de busca para Microsoft Teams, exibindo microsoft.com como o URL, mas redirecionando os usuários por uma série de links enganosos. É provável que o anúncio tenha sido pago por meio de uma conta comprometida do Google Ads.
Cadeia de Redirecionamento
Inicialmente, o anúncio redirecionava diretamente para o site legítimo da Microsoft. No entanto, após múltiplas tentativas e ajustes, foi observada uma cadeia completa de ataque. De acordo com pesquisadores da Malwarebytes, ao clicar no anúncio, os usuários passavam por um processo de perfilagem para garantir que apenas pessoas reais prosseguissem, ajudando o site malicioso a evitar detecção por ferramentas e verificações de segurança automatizadas.
Domínio de Cloaking
Um domínio de cloaking separava o redirecionamento inicial da página de destino maliciosa, que imitava o design do site oficial de download do Microsoft Teams. O anúncio era considerado malicioso, exibindo o URL microsoft.com, mas direcionando para uma página de instalação falsa. O anunciante, localizado em Hong Kong, executava mais de mil anúncios não relacionados.
Técnica de Distribuição de Malware
Após investigação, descobriu-se que o anúncio utilizava uma carga útil única para cada visitante, gerada a partir de um domínio chamado locallyhyped.com. Uma vez que o arquivo baixado fosse aberto, o usuário era instruído a inserir sua senha e conceder acesso ao sistema de arquivos, permitindo que o aplicativo malicioso roubasse senhas do chaveiro e arquivos importantes. Após o roubo de dados, os dados eram exfiltrados via uma única solicitação POST para um servidor web controlado pelo atacante.
Conclusão
Este ataque destaca a crescente sofisticação das ameaças de malvertising direcionadas aos usuários do macOS. A utilização de técnicas avançadas de evasão e a imitação de sites legítimos sublinham a necessidade de vigilância constante e medidas de segurança aprimoradas para proteger os dados dos usuários. Para se proteger contra essas ameaças, é essencial que os usuários verifiquem a autenticidade dos links e downloads e mantenham seus sistemas de segurança atualizados.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
