Una nueva familia de adware llamada AdsExhaust ha sido descubierta por la firma de ciberseguridad eSentire. Este adware es capaz de extraer capturas de pantalla y simular pulsaciones de teclas en los navegadores para hacer clic en anuncios o redirigir a URL específicas, generando así ingresos para los operadores de adware.
La cadena de infección comienza con un sitio web falso («oculus-app[.]com») que aparece en las páginas de resultados de búsqueda de Google. Este sitio web engañoso lleva a los usuarios a descargar un archivo ZIP («oculus-app.EXE.zip») que contiene un script por lotes de Windows.
Posteriormente, el script por lotes busca otro script por lotes desde un servidor de comando y control (C2) y crea tareas programadas en la máquina para ejecutar los scripts por lotes en diferentes momentos. Luego, se descarga la aplicación legítima en el equipo comprometido, mientras se eliminan archivos de script de Visual Basic (VBS) y scripts de PowerShell para recopilar información del sistema y capturar capturas de pantalla.
El adware AdsExhaust basado en PowerShell comprueba si el navegador Edge de Microsoft está en ejecución y realiza clics automáticos en anuncios si el sistema está inactivo por más de 9 minutos. También puede cerrar el navegador si detecta movimiento del mouse o interacción del usuario, ocultando sus actividades al usuario.
Además, los actores de amenazas han estado utilizando videos de YouTube y tácticas de ingeniería social para promocionar el sitio falso, dando una apariencia de legitimidad a los usuarios desprevenidos. Esto destaca la importancia de ser cauteloso sobre la autenticidad de las soluciones encontradas en línea.
En otras noticias, una campaña de malpsam en Italia está distribuyendo troyanos de acceso remoto llamados Adwind mediante archivos ZIP con temática de facturas. Estas amenazas demuestran la importancia de la ciberseguridad y la necesidad de que los usuarios estén alerta al descargar archivos o hacer clic en enlaces sospechosos.
Vía The Hacker News
