Uma nova campanha de malvertising foi descoberta utilizando sites falsos que se passam por um portal legítimo de notícias do Windows para propagar um instalador malicioso de uma ferramenta popular de perfilamento de sistema chamada CPU-Z.

“Este incidente faz parte de uma campanha maior de malvertising que também visa outras utilidades como Notepad++, Citrix e VNC Viewer.

Embora as campanhas de malvertising sejam conhecidas por configurar sites réplica anunciando softwares amplamente utilizados, a atividade mais recente se destaca por imitar o site WindowsReport[.]com.

O objetivo é enganar usuários desavisados que buscam por CPU-Z em motores de busca como o Google, servindo anúncios maliciosos que, ao serem clicados, redirecionam para o portal falso (workspace-app[.]online).

Ao mesmo tempo, usuários que não são as vítimas pretendidas da campanha recebem um blog inofensivo com diferentes artigos, uma técnica conhecida como camuflagem.

O instalador MSI assinado hospedado no site fraudulento contém um script malicioso do PowerShell, um carregador conhecido como FakeBat (também conhecido como EugenLoader), que serve como um canal para implantar o RedLine Stealer no host comprometido.

Isso está longe de ser a primeira vez que anúncios enganosos do Google Ads para softwares populares se revelaram como um vetor de distribuição de malware.