Una campaña de ‘malvertising’ está distribuyendo el cargador de malware conocido como PikaBot a usuarios que buscan software legítimo como AnyDesk. Según Jérôme Segura de Malwarebytes, PikaBot se distribuía previamente a través de campañas de malspam, como QakBot, y ha surgido como uno de los cargadores preferidos para un actor de amenazas conocido como TA577.
Esta familia de malware, que apareció por primera vez a principios de 2023, consta de un cargador y un módulo central que le permite operar como una puerta trasera además de permitir la distribución de otros cargadores. Esto permite a los actores obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de control y comando (C2), que van desde shellcode arbitrario, Dlls, archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike.
TA577, un prolífico actor de amenazas cibernéticas que en el pasado ha entregado QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike, es uno de los actores que utilizan PikaBot en sus ataques.
El vector de infección inicial más reciente es un anuncio malicioso de Google para AnyDesk. Cuando el usuario hace clic en él en la página de resultados de búsqueda, se redirige a un sitio web falso llamado anadesky.ovmv[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.
Interesantemente, se produce una segunda ronda de detección al hacer clic en el botón de descarga en el sitio web, lo que sugiere que se trata de un intento adicional de garantizar que no esté accesible en un entorno virtualizado.
Es importante señalar que la redirección al sitio web falso solo ocurre después de identificar la solicitud y solo si no proviene de una máquina virtual.
Malwarebytes dijo que los ataques son similares a las cadenas de malvertising previamente identificadas utilizadas para diseminar otro malware de cargador conocido como FakBat (también conocido como EugenLoader).
«Esto es particularmente interesante porque apunta hacia un proceso común utilizado por diferentes actores de amenazas», dijo Segura. «Quizás esto es algo similar al ‘malvertising como un servicio’ donde los anuncios de Google y las páginas decoy se proporcionan a los distribuidores de malware».
La revelación llega cuando la empresa dijo que detectó un aumento en los anuncios maliciosos a través de búsquedas de Google para software popular como Zoom, Advanced IP Scanner y WinSCP para entregar un cargador llamado HiroshimaNukes, que nunca antes se había visto, así como FakBat.
