Campanha de Malvertising Atrai Usuários com Anúncio Falso do Microsoft Teams

Uma campanha sofisticada de malvertising está mirando usuários do macOS que buscam pelo Microsoft Teams, destacando a crescente concorrência entre criadores de malware no ecossistema macOS. Este último ataque, que utiliza o malware Atomic Stealer, segue de perto o projeto Poseidon (OSX.RodStealer), indicando avanços nas ameaças que afetam o macOS. A campanha maliciosa, que durou vários dias, empregou técnicas avançadas de filtragem para evadir a detecção. Aparecendo como o principal resultado de busca para Microsoft Teams, o anúncio exibia microsoft.com como seu URL, mas redirecionava os usuários por uma série de links enganosos.

O anúncio provavelmente foi pago por uma conta de anúncio do Google comprometida. Inicialmente, o anúncio redirecionava diretamente para o site da Microsoft, mas após múltiplas tentativas e ajustes, uma cadeia completa de ataque foi finalmente observada. Pesquisadores da Malwarebytes afirmaram que, ao clicar no anúncio, os usuários eram submetidos a um processo de perfilagem para garantir que apenas pessoas reais prosseguissem. Isso ajudava o site malicioso a evadir a detecção por ferramentas e verificações de segurança automatizadas. Um domínio de cloaking então separava o redirecionamento inicial da página de destino maliciosa, que imitava o design do site oficial de download do Microsoft Teams.

O anúncio foi considerado malicioso, com um URL de exibição mostrando Microsoft.com, mas levando a uma página de instalação falsa. O anunciante, localizado em Hong Kong, executa mais de mil anúncios não relacionados. Após investigação, descobriu-se que o anúncio estava utilizando uma carga útil única para cada visitante, gerada a partir de um domínio chamado locallyhyped.com. Uma vez que o arquivo baixado fosse aberto, o usuário era instruído a inserir sua senha e conceder acesso ao sistema de arquivos, permitindo que o aplicativo malicioso roubasse senhas do chaveiro e arquivos importantes.

Após o roubo de dados, os dados eram exfiltrados via uma única solicitação POST para um servidor web controlado pelo atacante.

Leia mais na mesma categoria:

CibercriminososNotícias