🚨 Cuidado con las descargas desde #Anonfiles (utilizado por muchos actores maliciosos), puede que en vez del archivo que querías, termines instalando, no solo 1, sino que 7 clases distintas de #Malware 👀

Revisemos por ejemplo: /anonfiles.com/7c62z4s9ob/Youtube_Viewer_rar

1/X

Al hacer click en "download" se descarga automaticamente un archivo que tiene de nombre "YouTube+Viewer.rar[.]zip" pero la descarga se realiza desde /yfilesstorage.com/Youtube+Viewer.rar.zip?c=AISJk2FCGQUA4ksCAENMFwAMAMyKTf0A (.ZIP protegido con contraseña) 🤔

2/X

Lamentablemente esto pasa desapercibido para usuarios menos prudentes.

Sin embargo, gracias a @hatching_io, podemos averiguar que lo que instalan realmente es #Arkei, #Metasploit, #Racoon, #Redline, #Smokeloader, #Socelars y #Vidar 😵

tria.ge/211116-mn4ghad…

3/X

Esto se debe a que el sitio de #Anonfiles tiene inyectado un script de publicidad que es utilizado para distribuír Malware (carga aleatoria).

El script en /djv99sxoqpv11.cloudfront.net también ha estado activo en sitios como /1337x.to y /bayfiles.com (urlscan.io/domain/djv99sx…).

IOC's (continuación):

#Vidar carga su C2 desde @koyuspace
159.69.92.223

6/X

Y finalmente, estos son 1105 dominios asociados a esta campaña de #Malvertising y publicidad maliciosa con descarga activa de Malware.

IOC's -> pastebin.com/DCJBk2f4

Referencias: virustotal.com/gui/ip-address…

7/X

Espera hay más...

La campaña está relacionada a estas "supuestas" agencias de publicidad y monetización de tráfico 🤔

/heartbid.net
/data-cash.network
/bidmag.net
/affilight.network
/sapphirum.network
/chikikliki.com
/mobile10.network

(las dejare aquí para despues)

8/X

📌 @AnonFiles -> #Malvertising (AD Network) -> 7 #Malware families

Add /1.zip to download:

/yfilesstorage.com
/getfileasap.com
/getthisfileasap.com
/topfilesstorage.com
/yourfilesstorage.com
/readytoloadforyou.com
/secondfilesstorage.com

[+] pastebin.com/DCJBk2f4