Un nou atac malvertising a vizat utilizatorii Slack, demonstrând cât de departe pot merge atacatorii pentru a evita detectarea. Acest articol explică metodele folosite și cum vă puteți proteja de astfel de amenințări.
TL;DR
- Un anunț publicitar fals pentru Slack a apărut în rezultatele căutării Google.
- Inițial, anunțul redirecționa către site-ul oficial Slack, dar în cele din urmă a dus la un site malițios care oferea un payload malware.
- Payload-ul era un Remote Access Trojan (RAT) numit SecTopRAT.
- Malwarebytes a blocat serverul de comandă și control și a raportat anunțul fals către Google.
Despre atac
În ultimele zile, mulți utilizatori au observat un anunț suspect pentru Slack care apărea în rezultatele de căutare Google. Deși anunțul părea legitim și redirecționa utilizatorii către slack.com inițial, ulterior începe să redirecționeze către pagini malițioase.
Atacatorii au lăsat anunțul să devină credibil de motoarele Google utilizand tehnica “cloaking”, permițându-i să rămână nedetectat pentru o perioadă. În cele din urmă, anunțul a început să redirecționeze către slack-windows-download[.]com, un domeniu creat recent. De aici, utilizatorii erau direcționați către o pagină care imita Slack și oferea un link de descărcare malițios.
Payload-ul malware ar putea avea legatura si cu SecTopRAT
Butonul de descărcare declanșa descărcarea unui fișier de pe un alt domeniu care, probabil, viza și utilizatorii Zoom. Analiza dinamică a arătat conectarea la un server folosit anterior de SecTopRAT, un troian de acces remote cu capabilități de furt de date.
Concluzie
Anunțul malițios a fost raportat Google și Cloudflare a marcat domeniile decoy ca fiind phishing. Cu toate acestea expertii se asteapta ca actorii ce se ocupa de “malvertising” să continue să exploateze platformele gratuite și plătite pentru a evita detectarea, dar ar trebui să fim conștienți că aceștia pot deveni mai răbdători și să aștepte momentul potrivit pentru a lansa o nouă campanie.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
