Um cluster de ameaça foi encontrado usando o Google Ads em uma de suas campanhas para distribuir várias cargas do recém-descoberto ransomware Royal. A Microsoft, que detectou o método de entrega do malware atualizado no final de outubro de 2022, está rastreando o grupo sob o nome DEV-0569.

“Os ataques DEV-0569 observados mostram um padrão de inovação contínua, com incorporação regular de novas técnicas de descoberta, evasão de defesa e várias cargas pós-compromisso, juntamente com o aumento da facilitação de ransomware”, disse a equipe de inteligência de ameaças de segurança da Microsoft em uma análise.

“O DEV-0569 utilizou várias cadeias de infecção usando PowerShell e scripts em lote que levaram ao download de cargas úteis de malware, como ladrões de informações ou uma ferramenta legítima de gerenciamento remoto usada para persistência na rede”, observou a gigante da tecnologia.

“A ferramenta de gerenciamento também pode ser um ponto de acesso para a preparação e disseminação de ransomware”.

Também é utilizada uma ferramenta conhecida como NSudo para iniciar programas com privilégios elevados e prejudicar as defesas, adicionando valores de registro projetados para desabilitar soluções antivírus.

O uso do Google Ads para entregar o BATLOADER seletivamente marca uma diversificação dos vetores de distribuição do DEV-0569, permitindo atingir mais alvos e entregar cargas de malware, apontou a empresa.