Хакеры и мошенники нашли ещё одну уловку. Теперь они платят за размещение вредоносных сайтов в верхней части результатов поиска в виде рекламы, о чём сообщила компания Sophos, специализирующаяся на кибербезопасности.
Эта практика, известная как “недобросовестная реклама” (malvertising), гарантирует видимость и часто нацелена на пользователей, которые ищут популярное программное обеспечение.
Предыдущие кампании были нацелены на пользователей, набирающих в поиске Google: CCleaner, WinRAR, Notepad++, VLC, OBS, VirtualBox, Blender 3D или Capcut.
Даже поиск приложений Adobe, Gimp, Slack, Tor или Thunderbird может привести к проблемам, поскольку вредоносная реклама может заразить компьютер такими вредоносными программами, как Aurora Stealer, RedLine, Vidar, FormBook и другими стилерами или троянами.
Известны случаи, когда поиск приложения OBS для создания скринкастов и потокового вещания, приводил к появлению до пяти вредоносных ссылок в верхней части результатов поиска.
Самые последние платные объявления часто связаны с искусственным интеллектом и замаскированы под такие инструменты, как Midjourney или ChatGPT.
Исследователи до сих пор пытаются определить, чем вызван рост числа вредоносной рекламы. Одной из причин может быть недавнее решение компании Microsoft, которая по умолчанию блокирует макросы в недоверенных документах. Возможно, этот шаг подтолкнул кибермошенников к поиску других векторов атак.
Другим возможным объяснением является использование злоумышленниками сервисов malvertising-as-a-service (MaaS). Рост доступности таких услуг и снижение цен на них могут стать причиной бурного роста фальшивой рекламы. По данным Sophos, некоторые продавцы выставляют на продажу взломанные учётные записи Google Ads.
Вредоносная реклама позволяет злоумышленникам сократить цепочку заражения, поскольку Google Ads позволяет клиентам ориентироваться на конкретных пользователей, особенно географически, и персонализировать кампании на основе языка системы, региона, ключевых слов для поиска и т.д.
В качестве примера можно привести поиск по ключевому слову TradingView в Европе. Поддельная реклама вела на сайт, где посетителям предлагалось загрузить программное обеспечение. Однако вместо легитимного приложения пользователи получали ZIP-файл, содержащий инсталлятор MSI. Он, в свою очередь, содержал обфусцированный сценарий PowerShell, предназначенный для запуска в фоновом режиме настоящего ПО TradingView, а также для загрузки и установки Trojan-Banker.
Вредоносная реклама основана на SEO poisoning (отравление поисковой выдачи) – популярной технике, с помощью которой злоумышленники размещают на контролируемых ими сайтах (своих или взломанных) определённые ключевые слова, надеясь, что они поднимутся в верхние строчки результатов поиска.
Материалы: Cybernews.com (Ernestas Naprys)