Исследователи безопасности предупреждают, что реклама Google активно используется для распространения вредоносного ПО среди ничего не подозревающих жертв, ищущих новые версии программного обеспечения.
20 января исследователь CronUp Герман Фернандес сообщил, что группа DEV-0569 ransomware использует Google Ads для распространения вредоносных программ Gozi/Ursnif, RedLine stealer и Royal ransomware.
Для развертывания они используют Add-MpPreference для настройки исключений в Windows Defender (расширения, пути и процессы), NSudo для запуска двоичных файлов с полными привилегиями и GnuPG для шифрования
- говорит Фернандес
Перенаправление скомпрометированных доменов
В рекламных объявлениях Google, используемых для этой кампании, по словам Фернандеса, несколько взломанных доменов, которые перенаправляют на вредоносные сайты на основе идентификатора рекламной кампании Google – так что если вы заходите на сайт не через Google, перенаправление не происходит.
23 января Фернандес сообщил, что группа TA505 тоже запускает подобные кампании.
Команда MalwareHunterTeam сообщает, что поиск в Google по запросу libreoffice выдал два объявления, ссылающихся на вредоносные домены, которые были выше официального сайта и запущенных рекламных объявлений фонда.
Исследователь Уилл Дорманн заметил: «Интересно, что объявление о вредоносном ПО имеет приоритет перед настоящим объявлением о LibreOffice.
Интересно:
- заплатили больше за размещение своего объявления?
- рекламодатель-злоумышленник вежливо попросил о преференциях?
- Google считает, что страница с загрузкой вредоносного ПО более легитимна, чем настоящая?
Опасные загрузки
Google пытается реагировать – компания сообщила, что удаляет вредоносные объявления при каждом обнаружении, заявив: «У нас есть строгие правила, запрещающие объявления, которые пытаются обойти нашу правоприменительную практику путем маскировки личности рекламодателя и выдачи себя за другие бренды, и мы неукоснительно соблюдаем их.
Тем временем, компании и проекты с открытым исходным кодом, чье программное обеспечение используется в качестве приманки, все больше осознают проблему. Один из них, проект OBS, недавно заявил в Twitter: «Мы все еще видим, как многие пользователи становятся жертвами поддельных веб-сайтов в спонсируемых Google ссылках, распространяющих вредоносное ПО. Многие из них имитируют внешний вид настоящего сайта. У нас нет никакой рекламы для OBS! Пожалуйста, скачивайте ТОЛЬКО с нашего официального сайта obsproject.com или нашего GitHub!»
NFT influencer «NFT God» потерял то, что он called^tfw «меняющую жизнь сумму моей чистой стоимости» после попытки скачать OBS по спонсорской ссылке из поиска Google.
Вместо того чтобы получить программное обеспечение, он по неосторожности установил вредоносное ПО, которое позволило злоумышленникам украсть всю его криптовалюту и НФТ, завладеть его Substack и разослать электронные письма со взломанными ссылками его 16 000 подписчикам.
Как реагировать на угрозу рекламы Google
Глава исследовательского отдела компании Nextron Systems Флориан Рот: «В условиях, когда реклама в Интернете в большинстве случаев содержит ссылки на вредоносное ПО, блокировщики рекламы следует рассматривать как средство самообороны, а их использование – как существенный вклад в надежную защиту».
Комментарии (0)