No último mês, a ISH alerta para um meio de ataque que utiliza o serviço de anúncios do Google para “esconder” um instalador de ransomware entre publicidades legítimas, além de um outro ransomware e malware descobertos.

Confira a lista das vulnerabilidades encontradas pela ISH:

DEV-0569: Ransomware via Google Ads

O DEV-0569 está associado ao grupo de ransomware Royal, que surgiu pela primeira vez em setembro de 2022. Pesquisadores identificaram que, em ataques recentes, os cibercriminosos utilizam o serviço de anúncios do Google, o Google Ads, para disparo do ataque. A ferramenta oferece recursos para personalizar campanhas publicitárias por meio de rastreamento de tráfego de anúncios e filtragem baseada em usuário ou dispositivo.

Em seu uso malicioso, links para campanhas de phishing (como formulários de contato em sites) são misturados junto a inserções publicitárias legítimas. Esses links e sites falsos então redirecionam a vítima a fazer o download de um arquivo supostamente legítimo, mas que na verdade instala o ransomware em sua máquina.

Info Stealer Aurora

Com os primeiros relatos de seu uso datando de abril de 2022, possui origem russa, e trata-se de um ataque cuja complexidade cresceu com o passar do tempo. Inicialmente, era vendido em fóruns da deep e dark web como um botnet com recursos de roubo de dados, instalação de programas maliciosos e acessos remotos.

Passou a ser comercializado como serviço por um grupo identificado como Cheshire. Incidentes recentes mostram que o malware também utiliza campanhas de phishing “disfarçado” em conteúdos de software legítimos, como carteiras de criptomoedas ou aplicações de acesso remoto.

Ransomware Medusa

Identificado em junho pela CISA, agência governamental de cibersegurança dos Estados Unidos, o grupo Medusa atua no modelo de extorsão única, ou seja, realizando a criptografia dos dados da vítima e exigindo pagamento para o resgate das informações. É comercializado no formato de Ransomware-as-a-Service (RaaS), no qual os desenvolvedores compartilham o ransomware com outros agentes de ameaça em troca de uma parte do pagamento do resgate.

Segundo a equipe de inteligência da ISH, trata-se de um ataque com origem em grupos cibercriminosos da Rússia. A empresa também afirma que os três principais métodos de ataque para disparo do ransomware estão na adivinhação de credenciais de empresas por meio de força bruta, envio de anexos maliciosos em e-mails e exploração de serviços de acesso remoto.