Recentemente, um novo tipo de ameaça cibernética chamada PikaBot ganhou destaque, sendo distribuído através de anúncios maliciosos (malvertising) em motores de busca. Esta técnica, que tem se tornado cada vez mais comum, inclui ataques baseados em navegadores e campanhas de engenharia social.

A distribuição típica de PikaBot começa com um e-mail contendo um link para um site externo, onde os usuários são induzidos a baixar um arquivo zip contendo um JavaScript malicioso.

Este script cria uma estrutura de diretórios aleatória e recupera a carga maliciosa de um site externo. A campanha de malvertising tem como alvo pesquisas no Google pelo aplicativo remoto AnyDesk.

Uma característica notável é a forma como os atores de ameaças contornam as verificações de segurança do Google, usando um URL de rastreamento via uma plataforma de marketing legítima para redirecionar para seu domínio personalizado.

Eles realizam a impressão digital via JavaScript para determinar, entre outras coisas, se o usuário está executando uma máquina virtual. Apenas após uma verificação bem-sucedida, o usuário é redirecionado para a página principal (site de isca do AnyDesk).

Os atores de ameaças também realizam uma segunda tentativa de impressão digital quando o usuário clica no botão de download, provavelmente para garantir que o link de download não funcione em um ambiente virtualizado. Nesta campanha específica, o instalador MSI está hospedado no Dropbox. Com a eficácia reduzida das vulnerabilidades em navegadores e seus plugins, os atores de ameaças se concentraram no spam para atingir empresas.