Злоумышленники копируют легитимные сайты программного обеспечения для распространения вредоносного ПО через платформу Google Ads

Количество злоумышленников, использующих платформу Google Ads для распространения вредоносного ПО среди ничего не подозревающих пользователей, которые ищут возможность скачать эти популярные программные продукты, увеличилось.

Злоумышленники воспроизводят официальные веб-сайты этих программных продуктов и затем распространяют версии этих продуктов, наполненные троянами, когда пользователь нажимает на кнопку загрузки.

Это программные продукты, на которые нацелены злоумышленники – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer и Audacity.

Некоторые из вредоносных программ, которые попали на компьютеры жертв, включают варианты Racoon Stealer, который является пользовательской версией Vidar Steeler и загрузчика вредоносного ПО IceID.

Месяц назад мы освещали кампанию MSI Afterburner, которая заразила пользователей вредоносным ПО RedLine, а отчет Bleeping Computers упоминает о массовой кампании по подмене доменов, в которой было скопировано до 200 доменов программных продуктов.

Неясно, как жертвы оказались на этих веб-сайтах, хотя отчеты от нескольких компаний по безопасности, таких как TrendMicro и Guardio Labs, объясняют, что все это произошло, когда злоумышленники достигли более широкой аудитории, продвигая свои веб-сайты через рекламные кампании в Google Ads!

Платформа Google Ads – это сервис, который позволяет рекламодателям продвигать свои веб-сайты и страницы, размещая их в верхней части поиска и часто выше официальных веб-сайтов продуктов.

Это означает, что пользователи, которые не используют или отключили блокировщики рекламы, увидят этот рекламируемый веб-сайт на первом плане и кликнут на него, принимая его за настоящий результат поиска!

Злоумышленники затем применяют уловки, чтобы обойти автоматические проверки Google, и если Google обнаруживает, что целевая страница является вредоносной, то рекламная кампания блокируется, а объявления удаляются.

Теперь, согласно GaurdioLabs и TrendMicro. Уловка, которую используют злоумышленники, заключается в том, чтобы заставить жертв кликнуть на рекламу, а затем перенаправить их на не связанный, но не вредоносный веб-сайт, который, кстати, также создан злоумышленником, откуда они перенаправляются на вредоносный веб-сайт, выдающий себя за программный продукт.

Как только целевые пользователи посещают дублированный веб-сайт, сервер немедленно перенаправляет их на мошеннический веб-сайт, а оттуда на вредоносный payload, сказал GaurdioLabs.

Более того, эти мошеннические веб-сайты даже не видны посетителю, не достигая их из реального рекламного потока, нерелевантные веб-сайты для краулеров, случайных посетителей, ботов и исполнителей политики Google.

Payload приходит в ZIP-файле и загружается с легитимного веб-сайта, такого как GitHub, Dropbox или Discord CDN, что гарантирует, что антивирус, работающий на целевом компьютере, не будет возражать против загрузки.

Согласно данным компании безопасности, кампания, которую они обнаружили в ноябре, в которой злоумышленники привлекали пользователей к версии Grammarly, наполненной троянами, которая имела Racoon Stealer.

Вредоносное ПО пришло с оригинальным программным обеспечением, так что пользователи получают легитимное программное обеспечение, а также вредоносное ПО, которое устанавливается незаметно.

В отчете TrendMicro объясняется, что кампания IceID, в которой злоумышленники использовали систему трафика Ketaro, чтобы определить, является ли пользователь, посещающий веб-сайт, действительно жертвой или исследователем, а затем происходит перенаправление; эта уязвимость TDS существует с 2019 года.

Что ж, с учетом сказанного, рекламируемые результаты поиска часто трудно идентифицировать как поддельные, поскольку они содержат все элементы легитимности, поэтому один из способов заблокировать эти рекламные кампании – активировать блокировщик рекламы в вашем браузере, который, в свою очередь, отфильтрует рекламируемые результаты поиска.

Другой способ – прокрутить страницу вниз, пока вы не увидите домен программного продукта, который вы хотите скачать.

Читать: RisePro Malware Stealing Passwords, Credit Card Info & Cryptocurrency Wallets