Новости Малвертайзинг в массы: хакеры манипулируют выдачей Google и заражают наивных пользователей вредоносным ПО

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Исследователи Securonix раскрыли вредоносную кампанию, реализованную через поддельный WinSCP.


ke2uc9ctls51c3uap3aqh98ifp7u6byg.jpg


Киберпреступники манипулируют результатами поисковой выдачи Google и размещают в ней поддельные рекламные объявления, обманывая пользователей, которые пытаются установить легитимный софт WinSCP .

Компания Securonix Для просмотра ссылки Войди или Зарегистрируйся эту хакерскую активность под названием «SEO#LURKER». По словам исследователей, вредоносная реклама перенаправляет пользователей на взломанный веб-сайт «gameeweb[.]com» на WordPress , который затем перенаправляет их на фишинговый сайт, контролируемый злоумышленниками.

Для создания рекламных редирект-объявлений, злоумышленники используют Для просмотра ссылки Войди или Зарегистрируйся Google. Основная цель этой многоступенчатой атаки — привлечь пользователей на фальшивый сайт WinSCP с доменом «winccp[.]net» и убедить загрузить вредоносное ПО.

Примечательно, что успех перенаправления напрямую зависит от правильности заданного заголовка ссылки. Если же ссылка задана неверно, хакеры просто Для просмотра ссылки Войди или Зарегистрируйся ничего не подозревающего пользователя.

Возвращаясь к сценарию успешного редиректа, стоит отметить, что вредоносное ПО поставляется в виде ZIP-архива, содержащего исполняемый файл. При его запуске используется DLL Sideloading для выполнения вредоносной DLL-библиотеки, в то время как подлинный установщик WinSCP нужен для поддержания завесы обмана.

Дальнейшие вредоносные действия обеспечивают Python -скрипты, которые распаковываются и активируются в фоне. Эти скрипты предназначены для связи с удалённым сервером злоумышленников и получения дальнейших инструкций для выполнения команд на заражённом устройстве.

Исходя из использования Google Ads для распространения вредоносного ПО, предполагается, что целью кампании являются пользователи, которые целенаправленно ищут программное обеспечение WinSCP, однако нет никакой уверенности, что хакеры не применят подобный сценарий к любому другому популярному софту.

Так, в конце прошлого месяца мы уже Для просмотра ссылки Войди или Зарегистрируйся вам о малвертайзинговой кампании, раскрытой исследователями из Malwarebytes , нацеленной на разработчиков, которые ищут PyCharm в поисковой строке Google. Разумеется, вместо желаемого софта, наивные жертвы скачивали на свой компьютер вредоносное ПО.

В последнее время малвертайзинг становится всё более популярным среди киберпреступников, со множеством весьма похожих друг на друга вредоносных кампаний.
 
Источник новости
www.securitylab.ru

Похожие темы