Se ha observado que el peligroso malware Bumblebee, una herramienta de carga descubierta por primera vez en la primavera de 2022 y preferida por las bandas de ransomware como reemplazo de BazarLoader, se propaga a través de anuncios maliciosos en línea, incluidos los de Google, según la inteligencia recopilada por Secureworks Counter Threat Unit (CTU). ).
Los anuncios en cuestión están vinculados a aplicaciones populares y de alto perfil, incluidas muchas preferidas por los trabajadores remotos como Cisco AnyConnect, Citrix Workspace y Zoom, pero también el juguete de inteligencia artificial generativa (IA) ChatGPT. Los usuarios involuntarios que buscan software legítimo son engañados para que instalen Bumblebee a través de páginas de descarga falsas propagadas por estos anuncios.
El aumento de la prevalencia de Bumblebee en la naturaleza encaja con un aumento general que el equipo de CTU ha visto en ataques que involucran software troyano que se distribuye a través de anuncios maliciosos en Google o envenenamiento de optimización de motores de búsqueda (SEO): el uso de técnicas legítimas de SEO para hacer que aparezca contenido malicioso. alto en los rankings de búsqueda.
“Los trabajadores remotos podrían estar buscando instalar un nuevo software en la configuración de TI de su hogar. Para una solución rápida, podrían buscar en línea, en lugar de recurrir a su equipo técnico, si es que tienen uno. Pero la investigación muestra que uno de cada 100 anuncios en línea contiene contenido malicioso”, dijo Mike McLellan, director de inteligencia de Secureworks CTU.
“A medida que las personas buscan nuevas tecnologías o quieren involucrarse con la publicidad en torno a nuevas tecnologías como ChatGPT, Google es el lugar para encontrarlas. Los anuncios maliciosos que aparecen en los resultados de búsqueda son increíblemente difíciles de detectar, incluso para alguien con un profundo conocimiento técnico”.
“La investigación muestra que hasta uno de cada 100 anuncios en línea contiene contenido malicioso”
Mike McLellan, CTU de Secureworks
En un caso al que respondió el equipo de CTU, se engañó a un usuario para que hiciera clic en un anuncio de Google para descargar un instalador legítimo de Cisco AnyConnect VPN que había sido modificado para entregar Bumblebee.
En cuestión de horas, un actor de amenazas no revelado accedió a su sistema, implementó el marco de post-explotación Cobalt Strike favorecido durante mucho tiempo por los ciberdelincuentes, llevó a cabo el llamado ataque Kerberoasting, una técnica que abusa del protocolo Kerberos para recolectar credenciales hash de Active Directory. – e intento de movimiento lateral.
Afortunadamente para el desafortunado usuario, el incidente se detuvo antes de que se convirtiera en algo mucho peor, ya que los defensores de la red fueron alertados de la actividad y pudieron cerrarla y desalojar al atacante antes de que pudiera causar demasiado daño. “Según lo que vimos, el actor de amenazas probablemente tenía la intención de implementar ransomware”, dijo McLellan.
“El cambio del phishing a los anuncios de Google no es tan sorprendente”, explicó. “Los adversarios siguen el dinero y la ruta fácil hacia el éxito, y si esta resulta ser una mejor manera de obtener acceso a las redes corporativas, entonces lo explotarán absolutamente.
“Lo que sí resalta es la importancia de contar con políticas estrictas para restringir el acceso a los anuncios web, así como también administrar los privilegios en las descargas de software, ya que los empleados no deben tener privilegios para instalar software en las computadoras de su trabajo”.
El equipo de Secureworks recomienda que, a medida que los actores de amenazas aumenten el uso de anuncios en línea y técnicas de envenenamiento de SEO, las organizaciones se muevan para proteger a sus equipos, especialmente a los usuarios remotos y las redes, mediante la implementación de restricciones y controles que limiten la capacidad de hacer clic en los anuncios de Google.
Como cuestión de política básica de seguridad cibernética, las organizaciones también deben asegurarse de que los instaladores y las actualizaciones de software solo se descarguen de sitios web confiables y verificados, un error que se soluciona fácilmente.
