Изследователите по киберсигурност от Malwarebytes наскоро откриха кампания, превземаща рекламите

Един от най-популярните текстови редактори е засегнат от злонамерена рекламна кампания в Google

Изследователите по киберсигурност от Malwarebytes неотдавна откриха акция, превземаща рекламите в Гугъл, които се подават на хора, търсещи Notepad++ – един от най-популярните софтуери за редактиране на текст. Те настояват, че акцията Cobalt Strike е била дейна в продължение на месеци.

Всеки път, когато някой търси Notepad++ (или вкара сходна поръчка, която би трябвало да изведе редактора), първите няколко резултата, които вижда са реклами, някои от които го водят към злоумишлен уебсайт. Можете да видите образец по-долу:

Cobalt Strike

Това е известна тактичност, виждана неведнъж преди. На страницата с резултатите от търсенето заглавията на уеб страниците се демонстрират с по-голям шрифт спрямо връзките, което улеснява хората да не помнят да ги ревизират два пъти и просто да кликнат върху оферти резултат. Освен това Гугъл по принцип се счита за надеждна, безвредна среда, в която хората не слагат под въпрос претекстовете на уеб страниците, които се демонстрират там (особено на първа страница).

Във всеки случай, откакто жертвата щракне върху връзката, уеб сайтът първо организира няколко бързи теста, с цел да се увери, че посетителят е същински (а не бот или нещо подобно) и по-късно демонстрира уебсайт, който наподобява съвсем еднакъв с законния уебсайт на Notepad++. За тези, които се считат за ботове (или по различен метод за несъответствуващи посетители), уеб сайтът ги пренасочва към сайт-примамка. На повтарящите се клиенти се демонстрира страница 404.

Cobalt Strike постоянно предхожда разгръщането на рансъмуер офанзиви, оповестява BleepingComputer.

Злоупотребата с рекламни мрежи не е нещо ново. Експертите по киберсигурност предизвестяват потребителите да бъдат деликатни, каквото и да вършат онлайн и постоянно да ревизират два пъти, с цел да се уверят, че изтеглят законен програмен продукт от законни източници. Пиратският програмен продукт, както и този, популяризиран посредством връзки в имейли и известия в обществените мрежи съвсем постоянно е злоумишлен.