En los últimos años, los ciberdelincuentes han incrementado sus ataques dirigidos a clientes y negocios mediante el uso de software contaminado promocionado a través de anuncios. El procedimiento es sencillo: grupos de ciberdelincuentes crean sitios web falsos que ofrecen software de alto interés y los promocionan en los resultados de búsqueda mediante anuncios.
Con tan solo una búsqueda y un clic, los usuarios pueden caer víctimas de este engaño. Como prueba de ello, a principios de 2023, hubo una serie de ataques contra figuras prominentes de criptomonedas, y recientemente, Bitdefender investigó una ola de incidentes relacionados durante la segunda mitad del año.
El presente informe se basa en una investigación sobre el uso de archivos ISO maliciosos por parte de actores amenazantes, ofreciendo a usuarios empresariales más de lo que esperaban. Además del software anunciado, el archivo ISO malicioso contenía un archivo ZIP con un ejecutable Python y sus dependencias. Una DLL cargada por el proceso python.exe estaba configurada para ejecutar código malicioso en forma de un iniciador de Meterpreter, otorgando a los atacantes acceso al equipo de la víctima.
A partir de ese conjunto de indicadores, los investigadores de Bitdefender lograron identificar más artefactos relacionados con la misma campaña, que parece haber comenzado al menos en mayo de 2023. Los archivos ISO maliciosos se distribuían mediante anuncios maliciosos que simulaban páginas de descarga de aplicaciones como AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize y posiblemente otras.
Esta campaña de malvertising conduce a la propagación de la infección después de la exposición inicial. Mientras permanecen en la red de la víctima, el objetivo principal de los atacantes es obtener credenciales, establecer persistencia en sistemas importantes y exfiltrar datos, con el objetivo final de extorsionar. También se han detectado intentos de desplegar el ransomware BlackCat.
Descubrimientos destacados:
- Un actor de amenazas con antecedentes en ciberdelitos ha cambiado sus técnicas de acceso inicial para utilizar anuncios en motores de búsqueda y aprovechar búsquedas de aplicaciones empresariales como AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize y posiblemente otras.
- Nuestra investigación muestra que el o los actores han utilizado con éxito este tipo de ataque desde finales de mayo de 2023.
- Basados en nuestros conocimientos sobre amenazas, los atacantes parecen enfocarse exclusivamente en América del Norte. Hasta el momento, hemos identificado seis organizaciones objetivo en Estados Unidos y una en Canadá.
