O grupo DEV-0569 usa o Google Ads para distribuir Royal RansomwareSecurity Affairs

A Microsoft alerta que um agente de ameaça, rastreado como DEV-0569, está usando o Google Ads para distribuir o ransomware Royal descoberto recentemente.

Pesquisadores da equipe de inteligência de ameaças de segurança da Microsoft alertaram que um agente de ameaça, rastreado como DEV-0569, usa o Google Ads para distribuir vários payloads, incluindo o recém-descoberto Ransomware real.

O grupo DEV-0569 realiza campanhas de malvertising para espalhar links para downloader de malware assinado, se passando por instaladores de software ou atualizações falsas incorporadas em mensagens de spam, páginas de fórum falsas e comentários de blog.

“Os arquivos maliciosos, que são downloaders de malware conhecidos como BATLOADER, se apresentam como instaladores ou atualizações para aplicativos legítimos como Microsoft Teams ou Zoom”. Leia-o relatório publicado pela Microsoft. “Quando iniciado, o BATLOADER usa as ações personalizadas do MSI para iniciar atividades maliciosas do PowerShell ou executar scripts em lote para ajudar na desativação de soluções de segurança e levam à entrega de várias cargas de malware criptografadas que são descriptografadas e iniciadas com comandos do PowerShell.

DEV-0569 depende muito de técnicas de evasão de defesa e usou a ferramenta de código aberto nsudo para desabilitar soluções antivírus em campanhas recentes.

O downloader, rastreado como CARREGADORcompartilha semelhanças com outro malware chamado ZLoaderGenericName.

De agosto a outubro de 2022, o DEV-0569 tentou distribuir o BATLOADER por meio de links maliciosos em e-mails de phishing, apresentados como instaladores legítimos para vários aplicativos populares, incluindo TeamViewer, Adobe Flash Player, Zoom e AnyDesk.

O BATLOADER foi hospedado em domínios criados pelo grupo para aparecer como sites legítimos de download de software (ou seja, anydeskos[.]com) e em repositórios legítimos como GitHub e OneDrive.

Os invasores também usaram formatos de arquivo como Virtual Hard Disk (VHD) disfarçados de software legítimo. Os VHDs também contêm scripts maliciosos usados ​​para baixar cargas DEV-0569.

“O DEV-0569 usou várias cadeias de infecção usando PowerShell e scripts em lote que levaram ao download de cargas de malware como infostealers ou uma ferramenta legítima de gerenciamento remoto usada para persistência de rede”, continua o relatório. “A ferramenta de gerenciamento também pode ser um ponto de entrada para preparar e espalhar ransomware.”

No final de outubro de 2022, a Microsoft observou uma campanha publicitária maliciosa aproveitando o Google Ads que aponta para o Keitaro Traffic Delivery System (TDS) legítimo, que permite que campanhas publicitárias sejam personalizadas por meio de rastreamento de tráfego de anúncios e filtragem baseada no usuário ou dispositivos. O TDS foi usado para redirecionar o usuário para um site de download legítimo ou, sob certas condições, para o site que hospeda o BATLOADER.

O grupo DEV-0569 usou o Keitaro para entregar as cargas para intervalos e alvos de IP especificados e, claro, para evitar intervalos de IP conhecidos por serem associados a soluções de sandbox.

Além disso, posiciona o grupo para servir como corretor de acesso inicial para outras operações de ransomware, juntando-se a malwares como emoção, identificação gelada, QakbotComentário.

“Como o esquema de phishing do DEV-0569 abusa de serviços legítimos, as organizações também podem aproveitar regras de fluxo de emails para capturar palavras-chave suspeitas ou examinar exceções gerais, como aquelas relacionadas a intervalos de endereços IP e listas de permissões em nível de domínio. “Conclui o gigante da informática. “Permitir links seguros para e-mail, o Microsoft Teams e os aplicativos do Office também podem ajudar a combater essa ameaça.

Siga me no twitter: @securityaffairs e Facebook e Mastodonte

Pierluigi Paganini

(casos de segurança hacking, DEV-0569)