Хакеры используют Google Ads для распространения вредоносного ПО в легальном ПО

Хакеры используют Google Ads для распространения вредоносного ПО в легальном ПО. Фото: СС0

Как сообщают исследователи, среди продуктов, фигурирующих в этих атаках: Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, Torrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird и Brave.

Злоумышленники клонируют официальные веб-сайты вышеуказанных проектов и распространяют троянские версии программного обеспечения, когда пользователи нажимают кнопку загрузки.

Некоторые из вредоносных программ, доставляемых таким образом на системы-жертвы, включают варианты Raccoon Stealer, пользовательскую версию Vidar Stealer и загрузчик вредоносных программ IcedID.

СМИ недавно сообщали о таких атаках, помогая выявить массовую кампанию, в которой использовалось более 200 доменов, выдающих себя за программные проекты. Другой пример — кампания с использованием поддельных порталов MSI Afterburner для заражения пользователей стилером RedLine.

Однако одной недостающей деталью было то, как пользователи подвергались воздействию этих веб-сайтов. Эта информация стала известна только сейчас.

В двух отчетах от исследователей Guardio Labs и Trend Micro поясняется, что эти вредоносные веб-сайты рекламируются с помощью рекламных кампаний Google.

Платформа Google Ads помогает рекламодателям продвигать страницы в поиске Google, размещая их в списке результатов как рекламу, часто выше официального сайта проекта.

Это означает, что пользователи, которые ищут законное программное обеспечение в браузере без активного блокировщика рекламы, сначала увидят продвигаемый сайт и, скорее всего, нажмут на него, потому что оно очень похоже на фактический результат поиска.

Если Google обнаружит, что посадочный сайт является вредоносным, кампания будет заблокирована, а реклама удалена, поэтому на этом этапе злоумышленники должны использовать хитрость, чтобы обойти автоматические проверки Google.

В Guardio и Trend Micro говорят, хитрость заключается в том, чтобы перенаправить жертв, нажавших на рекламу, на нерелевантный, но безопасный сайт, созданный злоумышленником, а затем перенаправить их на вредоносный сайт, выдающий себя за программный проект.

Из сообщения Guardio Labs:

«В тот момент, когда эти «замаскированные» сайты посещают целевые посетители, сервер немедленно перенаправляет их на мошеннический сайт, а оттуда — на вредоносную полезную нагрузку. Эти мошеннические сайты практически невидимы для посетителей, не обращающихся к реальному рекламному потоку, и отображаются как безвредные, не связанные сайты с поисковыми роботами, ботами, случайными посетителями и, конечно же, для аудиторов Google».

Полезная нагрузка, которая поставляется в формате ZIP или MSI, загружается из авторитетных служб обмена файлами и хостинга кода, таких как GitHub, Dropbox или CDN Discord. Это гарантирует, что любые антивирусные программы, работающие на компьютере жертвы, не будут блокировать такую загрузку.

В Guardio Labs сообщают, что в ходе кампании, которую они наблюдали в ноябре, злоумышленник заманивал пользователей троянизированной версией Grammarly, которая доставляла Raccoon Stealer.

Вредоносное ПО шло в комплекте с легитимным программным обеспечением. Пользователи получат то, что они загрузили, а вредоносное ПО будет установлено автоматически.

В отчете специалистов Trend Micro основное внимание уделяется кампании IcedID. В документе говорится, что злоумышленники злоупотребляют системой управления трафиком Keitaro, чтобы определить, является ли посетитель веб-сайта исследователем или действительной жертвой, прежде чем произойдет перенаправление. Злоупотребление этим TDS наблюдается с 2019 года .

Один из хороших способов заблокировать такие кампании — активировать блокировщик рекламы в веб-браузере, который отфильтровывает продвигаемые результаты из поиска Google.

Еще одна мера предосторожности — прокрутить страницу вниз, пока не увидите официальный домен нужного вам программного проекта. Официальный домен указан на странице программного обеспечения в Википедии.

Если вы часто посещаете веб-сайт определенного программного проекта для получения обновлений, лучше добавить URL-адрес в закладки и использовать его для прямого доступа.

Распространенным признаком того, что установщик, который вы собираетесь загрузить, может быть вредоносным, является ненормальный размер файла.

Еще одним явным признаком атаки является домен сайта загрузки, который может напоминать официальный, но имеет переставленные символы в имени или одну неправильную букву, известную как «опечатка», пишут исследователи.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Руководство Okta подтвердило кражу кода.
• Специалисты российской компании Positive Technologies нашли опасные уязвимости в инженерных утилитах Mitsubishi Electric.
• Разработчики Google Chrome и Android отказываются от поддержки TrustCor из-за угрозы конфиденциальности.