Ransomware Bumblebee pode te infectar por meio de anúncios no Google

0

Propagandas fraudulentas no Google estão sendo usadas como isca para contaminar computadores com o ransomware Bumblebee. O malware se espalha a partir de páginas falsas promovendo aplicações populares, como Zoom, ChatGPT, Cisco AnyConnect e Citrix Workspace, com os anúncios aparecendo com destaque nas buscas relacionadas a tais soluções.

  • Anúncios no Google e técnicas de SEO já entram em currículo cibercriminoso
  • Golpes usam serviços legítimos parar clonar gigantes do e-commerce

O alerta sobre a campanha maliciosa foi feito pelos pesquisadores da Secureworks, que também detectaram técnicas de SEO sendo utilizadas nos sites fraudulentos. A ideia, como sempre, é garantir que os domínios falsos apareçam à frente nas pesquisas, até mesmo das páginas legítimas, enquanto o ransomware se espalha ao lado de uma versão legítima dos softwares.

Sites comprometidos, que usam a plataforma WordPress, também são acessórios do golpe — eles hospedam as páginas falsas, que simulam a aparência de domínios reais das empresas e entregam os aplicativos maliciosos. Eles são efetivamente instalados na máquina, mas também acompanham um script PowerShell que traz o BumbleBee para o computador.

O ransomware é carregado na memória e não chama a atenção de antivírus e outras ferramentas de segurança. De acordo com a Secureworks, o ataque também tem seu tempo de hibernação, com a praga tentando se mover lateralmente pela rede apenas três horas depois da contaminação inicial, abrindo novas portas de entrada que, mais tarde, são utilizadas em ataques de sequestro e furto de dados.

As corporações, claro, são o alvo central do Bumblebee, um malware cujas origens estariam ligadas ao Conti, uma das principais quadrilhas de ransomware da atualidade. A praga estaria sendo desenvolvida desde abril do ano passado como substituta ao BazarLoader, também amplamente usado por cibercriminosos.

O comportamento faz com que os especialistas pensem em uma campanha de explorações como serviço, com os criminosos divulgando malwares de forma ampla para, mais tarde, identificar redes comprometidas e vender esse acesso para a realização de novos ataques. A implantação de ransomware, bem como o roubo de dados, são os resultados usuais desse tipo de operação.

Do outro lado, os usuários podem se proteger adotando a cautela no download de soluções, que devem ser feitos sempre de sites reconhecidos, dos próprios desenvolvedores, ou através de lojas oficiais de aplicativos. Evite clicar em anúncios nas ferramentas de busca, preferindo acessar diretamente as páginas dos responsáveis pela solução, enquanto sistemas antivírus e de monitoramento são atualizados e mantidos ativos para identificar qualquer sinal de problema.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.