Престъпници използват Google Ads, за да доставят зловреден код
Вече сме 2023, само че хакерите към момента употребяват сполучливо остаряла техника в търсачката на Гугъл, с цел да подмамват жертви. Става дума за положителния остарял способ, прочут като SEO-poisoning, при който основани от киберпрестъпници уеб сайтове сполучливо намират място измежду първите резултати в търсачката.
Става дума за акция от края на предходната година, засечена от Guardio Labs и Trend Micro. Тя разпространявала подправени копия на софтуерни артикули, като Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, AnyDesk, LibreOffice, Teamviewer, Thunderbird, Brave и други, доставяйки вместо мечтаната стратегия шпионски стратегии, троянски коне и други тип злотворен програмен продукт.
Гугъл Ads се явява общоприета рекламна платформа на Гугъл, при която снабдители на услуги и артикули заплащат, с цел да може търсачката да извежда тяхната реклама в специфични карета над връзките с резултати – евентуално е да не виждате предложенията на Гугъл Ads, в случай че употребявате блокатор на реклама. SEO-poisoning тактиките на мошениците напълно не са нещо ново и непознато. Но с годините Гугъл започнаха да засичат по-успешно тези акции, въпреки и казусът тук да не е тъкмо подобен. Престъпниците са съумели да избегнат инспекциите на търсачката, употребявайки ловък трик. Те основали изцяло законни страници без злотворен код на тях. Именно реклами за тези уеб сайтове се предложили от Гугъл Ads. Когато обаче жертвата последва връзката, сървърът зад уеб страницата пренасочва посетителя към друга страница, a зловредния файл за събаряне (обикновено в ZIP архив) се обитава на добре известни хранилиша – GitHub, DropBox, Discord – което приспива бдителността на посетителя. Хакерите били изготвили по този начин тактиките си, че посетителите на въпросните страници, които не са пренасочени от Гугъл Ads рекламата (т.е. с включен параметър gclid), виждали уеб страницата, като безвреден. Става дума освен за инцидентни гости, само че и за профилираните ботове и автоматизираните инспекции на самите Гугъл. За да създадат нещата още по-сложни за жертвите си, участниците в MasquerAds акциите, каквото име са дали експертите на хакерите, изпълнимите файлове в реалност съдържат същинско копие на програмата, която е търсена. Но дружно с нея, в инсталатора е включена и неприятна изненада. Освен това, нарушителите пазят самите файлове по подобен метод, че да е мъчно засичането му от множеството системи за отбрана. Такъв е случая с троянизирано копие на Grammarly, който Guardio преглеждат съответно в отчета си. Проверка във Virus Total на изпълнимия файл показва доста ниски равнища на в началото засичане от водещите антивирусни стратегии. И не на последно място, създателите на акцията променяли всеки ден вида зловредна стратегия, която се предлага и източникът, от който тя бива сваляна.
Guardio обръщат също внимание на незаконна група с името Vermux, която има съответен интерес – предлагането на програмен продукт, обвързван с графичните процесори. Цел на акцията са им геймъри, графични дизайнери, криптоентусиасти и други Специално внимание те отделят на предлагането на злотворен код, затулен, като законни копия на MSI Afterburner. Заедно с това те организират обособени акции към търсещи да конфигурират мениджъра за пароли Dashlane, програмата за отдалечено обслужване Anydesk, Blender, TradingView и други
„ Концепцията зад MasquerAD е елементарна, само че прави точно това, което уредниците ѝ желаят – да се възползват от доверието, което ние от време на време на сляпо даваме на Гугъл и рекламираните от тях резултати при търсенията. Добавяйки към това и компрометирането на известни услуги за шерване на файлове, както и експлоатирането на добре известни софтуерни марки, оказват помощ за това да бъдат подлъгани дори най-високо ценените решения за отбрана на пазара. Неизбежно е в тази ситуация да бъде задействано едно равнище на отбрана, което да преценя независимо и обективно обстановката – даже и за най-простите и чести неща, като търсенето в Гугъл. Не се подлъгвайте от домейни с неправилно изписани имена и постоянно проверявайте два пъти от кое място сваляте вашите файлове “, Guardio.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
Става дума за акция от края на предходната година, засечена от Guardio Labs и Trend Micro. Тя разпространявала подправени копия на софтуерни артикули, като Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, AnyDesk, LibreOffice, Teamviewer, Thunderbird, Brave и други, доставяйки вместо мечтаната стратегия шпионски стратегии, троянски коне и други тип злотворен програмен продукт.
Гугъл Ads се явява общоприета рекламна платформа на Гугъл, при която снабдители на услуги и артикули заплащат, с цел да може търсачката да извежда тяхната реклама в специфични карета над връзките с резултати – евентуално е да не виждате предложенията на Гугъл Ads, в случай че употребявате блокатор на реклама. SEO-poisoning тактиките на мошениците напълно не са нещо ново и непознато. Но с годините Гугъл започнаха да засичат по-успешно тези акции, въпреки и казусът тук да не е тъкмо подобен. Престъпниците са съумели да избегнат инспекциите на търсачката, употребявайки ловък трик. Те основали изцяло законни страници без злотворен код на тях. Именно реклами за тези уеб сайтове се предложили от Гугъл Ads. Когато обаче жертвата последва връзката, сървърът зад уеб страницата пренасочва посетителя към друга страница, a зловредния файл за събаряне (обикновено в ZIP архив) се обитава на добре известни хранилиша – GitHub, DropBox, Discord – което приспива бдителността на посетителя. Хакерите били изготвили по този начин тактиките си, че посетителите на въпросните страници, които не са пренасочени от Гугъл Ads рекламата (т.е. с включен параметър gclid), виждали уеб страницата, като безвреден. Става дума освен за инцидентни гости, само че и за профилираните ботове и автоматизираните инспекции на самите Гугъл. За да създадат нещата още по-сложни за жертвите си, участниците в MasquerAds акциите, каквото име са дали експертите на хакерите, изпълнимите файлове в реалност съдържат същинско копие на програмата, която е търсена. Но дружно с нея, в инсталатора е включена и неприятна изненада. Освен това, нарушителите пазят самите файлове по подобен метод, че да е мъчно засичането му от множеството системи за отбрана. Такъв е случая с троянизирано копие на Grammarly, който Guardio преглеждат съответно в отчета си. Проверка във Virus Total на изпълнимия файл показва доста ниски равнища на в началото засичане от водещите антивирусни стратегии. И не на последно място, създателите на акцията променяли всеки ден вида зловредна стратегия, която се предлага и източникът, от който тя бива сваляна.
Guardio обръщат също внимание на незаконна група с името Vermux, която има съответен интерес – предлагането на програмен продукт, обвързван с графичните процесори. Цел на акцията са им геймъри, графични дизайнери, криптоентусиасти и други Специално внимание те отделят на предлагането на злотворен код, затулен, като законни копия на MSI Afterburner. Заедно с това те организират обособени акции към търсещи да конфигурират мениджъра за пароли Dashlane, програмата за отдалечено обслужване Anydesk, Blender, TradingView и други
„ Концепцията зад MasquerAD е елементарна, само че прави точно това, което уредниците ѝ желаят – да се възползват от доверието, което ние от време на време на сляпо даваме на Гугъл и рекламираните от тях резултати при търсенията. Добавяйки към това и компрометирането на известни услуги за шерване на файлове, както и експлоатирането на добре известни софтуерни марки, оказват помощ за това да бъдат подлъгани дори най-високо ценените решения за отбрана на пазара. Неизбежно е в тази ситуация да бъде задействано едно равнище на отбрана, което да преценя независимо и обективно обстановката – даже и за най-простите и чести неща, като търсенето в Гугъл. Не се подлъгвайте от домейни с неправилно изписани имена и постоянно проверявайте два пъти от кое място сваляте вашите файлове “, Guardio.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
Източник: kaldata.com
КОМЕНТАРИ