Uma nova campanha está enganando os usuários que procuram o aplicativo Meta Quest (anteriormente Oculus) para Home windows, fazendo-os baixar uma nova família de adware chamada AdsExhaust.
“O adware é capaz de extrair capturas de tela de dispositivos infectados e interagir com navegadores usando teclas simuladas”, disse a empresa de segurança cibernética eSentire em uma análise, acrescentando que identificou a atividade no início deste mês.
“Essas funcionalidades permitem clicar automaticamente em anúncios ou redirecionar o navegador para URLs específicos, gerando receita para os operadores de adware”.
A cadeia de infecção inicial envolve o surgimento do website falso (“oculus-app(.)com”) nas páginas de resultados de pesquisa do Google usando técnicas de envenenamento de otimização de mecanismos de pesquisa (web optimization), solicitando que visitantes desavisados baixem um arquivo ZIP (“oculus-app. EXE.zip”) contendo um script em lote do Home windows.
O script em lote foi projetado para buscar um segundo script em lote de um servidor de comando e controle (C2), que, por sua vez, contém um comando para recuperar outro arquivo em lote. Ele também cria tarefas agendadas na máquina para executar scripts em lote em momentos diferentes.
Esta etapa é seguida pelo obtain do aplicativo legítimo no host comprometido, enquanto simultaneamente arquivos adicionais do Visible Primary Script (VBS) e scripts do PowerShell são descartados para coletar informações de IP e do sistema, capturar capturas de tela e exfiltrar os dados para um servidor remoto ( “us11(.)org/in.php”).
A resposta do servidor é o adware AdsExhaust baseado em PowerShell que verifica se o navegador Edge da Microsoft está em execução e determina a última vez que ocorreu uma entrada do usuário.
“Se o Edge estiver em execução e o sistema estiver ocioso e exceder 9 minutos, o script pode injetar cliques, abrir novas guias e navegar para URLs incorporados no script”, disse eSentire. “Em seguida, ele rola aleatoriamente para cima e para baixo na página aberta.”
Suspeita-se que esse comportamento tenha como objetivo acionar elementos como anúncios na página da net, especialmente considerando que o AdsExhaust realiza cliques aleatórios em coordenadas específicas na tela.
O adware também é capaz de fechar o navegador aberto se for detectado movimento do mouse ou interação do usuário, criando uma sobreposição para ocultar suas atividades para a vítima e procurando a palavra “Patrocinado” na guia do navegador Edge atualmente aberta para clicar em o anúncio com o objetivo de inflar a receita publicitária.
Além disso, ele está equipado para buscar uma lista de palavras-chave de um servidor remoto e realizar pesquisas no Google por essas palavras-chave, iniciando sessões do navegador Edge por meio do comando Begin-Course of PowerShell.
“AdsExhaust é uma ameaça de adware que manipula habilmente as interações do usuário e oculta suas atividades para gerar receitas não autorizadas”, observou a empresa canadense.
“Ele contém várias técnicas, como recuperação de código malicioso do servidor C2, simulação de pressionamentos de teclas, captura de telas e criação de sobreposições para permanecer indetectável enquanto se envolve em atividades prejudiciais.”
O desenvolvimento ocorre no momento em que websites falsos de suporte de TI semelhantes, divulgados por meio de resultados de pesquisa, estão sendo usados para entregar o Hijack Loader (também conhecido como IDAT Loader), o que acaba levando a uma infecção pelo Vidar Stealer.
O que destaca o ataque é que os agentes da ameaça também estão aproveitando os vídeos do YouTube para anunciar o website falso e usando bots para postar comentários fraudulentos, dando-lhe uma aparência de legitimidade aos usuários que procuram soluções para resolver um erro de atualização do Home windows (código de erro 0x80070643 ).
“Isso destaca a eficácia das táticas de engenharia social e a necessidade de os usuários serem cautelosos quanto à autenticidade das soluções que encontram on-line”, disse eSentire.
A divulgação também vem na esteira de uma campanha malpsam direcionada a usuários na Itália com iscas de arquivo ZIP com tema de fatura para entregar um trojan de acesso remoto baseado em Java chamado Adwind (também conhecido como AlienSpy, Frutas, jRAT, JSocket, Sockrat e Unrecom).
“Após a extração, o usuário recebe arquivos .HTML, como INVOICE.html ou DOCUMENT.html, que levam a arquivos .jar maliciosos”, disse a Symantec, de propriedade da Broadcom.
“A carga ultimate descartada é o trojan de acesso remoto Adwind (RAT), que permite aos invasores controlar o endpoint comprometido, bem como a coleta e exfiltração de dados confidenciais.”
