Já imaginou uma universidade sendo usada como disfarce para distribuir malware? Parece ficção científica, mas é a realidade assustadora que vamos explorar neste post. Descobrimos um ataque sofisticado que usou um site universitário clonado para espalhar um falso instalador da Cisco, enganando usuários desavisados. Prepare-se para mergulhar nesse mundo de cibercrime e entender como funciona essa armadilha digital.
Criminosos virtuais estão sempre um passo à frente, buscando novas maneiras de driblar os sistemas de segurança. No caso da publicidade online, essa “corrida armamentista” envolve a criação de identidades falsas para distribuir anúncios maliciosos. Afinal, não adianta só evadir a detecção; é preciso criar uma isca irresistível.
E é aqui que entra o conceito de “páginas brancas” – sites aparentemente inofensivos que servem como disfarce para campanhas maliciosas. Neste caso específico, o alvo era o Cisco AnyConnect, ferramenta frequentemente usada em universidades e empresas. Os criminosos usaram o nome de uma universidade alemã para criar um site falso que não enganava diretamente as vítimas, mas sim os sistemas de segurança.
As vítimas eram redirecionadas para um site falso da Cisco, que oferecia um instalador infectado com o NetSupport RAT, um cavalo de Tróia de acesso remoto. Vamos entender como essa estratégia funcionou.
O disfarce perfeito
O anúncio malicioso aparecia em buscas no Google por “cisco annyconnect“. O anúncio mostrava um URL aparentemente confiável: anyconnect-secure-client[.]com. Detalhe importante: este domínio foi registrado menos de um dia antes do aparecimento do anúncio.
Ao clicar no anúncio, o servidor verificava se o usuário era uma vítima em potencial. Usuários com endereços IP residenciais e outras configurações de rede típicas eram considerados alvos mais fáceis, diferenciando-os de robôs, VPNs ou proxies.
Recentemente, vimos criminosos usando IA para gerar páginas falsas que parecem inofensivas. Essas páginas servem para disfarçar a verdadeira natureza maliciosa do anúncio. Neste caso, a estratégia foi inteligente: clonar o conteúdo de uma universidade que de fato utiliza o Cisco AnyConnect.
A Technische Universität Dresden (TU Dresden), teve seu site copiado. Ironicamente, os autores do ataque deixaram um rastro: a notificação de cookies obrigatória para sites na Europa expôs a linguagem do navegador – Russo.
Vítimas reais infectadas com malware
Mesmo com o site clonado parecendo convincente, as vítimas reais nunca o viam. Ao se conectar ao servidor malicioso, eram redirecionadas para um site de phishing da Cisco AnyConnect.
O download do malware era feito por meio de um script PHP que fornecia o link direto para o arquivo. O arquivo era hospedado em um site WordPress possivelmente comprometido.
O instalador falso possuía uma assinatura digital com um certificado válido. Após a execução, extraía o client32.exe, um nome conhecido por estar associado ao NetSupport RAT.
cisco-secure-client-win-5.0.05040-core-vpn-predeploy-k9.exe
-> client32.exe
-> "icacls" "C:\ProgramData\CiscoMedia" /grant *S-1-1-0:(F) /grant Users:(F) /grant Everyone:(F) /T /CO cavalo de Tróia de acesso remoto se conectava aos endereços IP: 91.222.173[.]67 e 199.188.200[.]195, dando ao invasor acesso remoto à máquina da vítima.
Conclusão
A imitação de marcas é muito comum em anúncios na busca. À medida que o Google aprimora suas políticas e algoritmos de detecção, os cibercriminosos precisam inovar.
Reutilizar uma página de uma universidade foi uma ideia inteligente, mas alguns detalhes falharam. O nome de domínio, apesar de convincente, era recém-registrado. Além disso, a cópia do código do site universitário deixou rastros que podem levar à identificação geográfica dos criminosos.
Apesar disso, o malware possuía assinatura digital e baixa taxa de detecção, o que pode significar um índice considerável de sucesso no ataque.
Por isso, sempre tome precaução ao baixar programas e desconfie de resultados patrocinados. A segurança online é responsabilidade de todos.
Compartilhe suas experiências com anúncios maliciosos!
