Исследователи безопасности предупреждают, что Google Ads активно используется для распространения вредоносных программ среди ничего не подозревающих жертв, которые ищут загрузки программного обеспечения.
20 января исследователь CronUp Херман Фернандес предупредил, что группа программ-вымогателей DEV-0569 использует Google Ads для распространения вредоносного ПО Gozi/Ursnif, стилера RedLine и программы-вымогателя Royal.
«Для развертывания они используют Add-MpPreference для настройки исключений в Защитнике Windows (расширения, пути и процессы), NSudo для запуска бинарников с полными привилегиями и GnuPG для шифрования полезных нагрузок», — добавил Фернандес, отметив, что в результате исходный файл не вызывает попаданий в VirusTotal.
Читайте также: Защита от программ-вымогателей: как предотвратить атаки программ-вымогателей
Скомпрометированные домены перенаправлены
Объявления Google, используемые для кампании, как писал Фернандес, используют несколько скомпрометированных доменов, которые перенаправляют на вредоносные сайты на основе идентификатора рекламной кампании Google, поэтому, если вы посещаете сайт не через Google, перенаправление не срабатывает.
23 января Фернандес отметил, что группа TA505 запускает аналогичные кампании.
И кампании, похоже, продолжаются.
MalwareHunterTeam сообщила, что поиск в Google «libreoffice» дал два объявления со ссылками на вредоносные домены, которые имели приоритет над законным списком.
Исследователь Уилл Дорманн ответил: «Интересно, что реклама вредоносного ПО имеет приоритет над реальной рекламой LibreOffice. интересно ли:
ЗЫ Актер заплатил больше за размещение рекламы?
ТА любезно попросил льготного режима?
Google считает, что страница загрузки вредоносного ПО является более законной, чем реальная?»
Опасные загрузки
Google пытается отреагировать — компания сообщила Bleeping Computer, что удаляет вредоносную рекламу всякий раз, когда она обнаруживается, заявив: «У нас есть строгие правила, запрещающие рекламу, которая пытается обойти наше правоприменение, маскируя личность рекламодателя и выдавая себя за другие бренды, и мы энергично применять их».
Тем временем компании и проекты с открытым исходным кодом, чье программное обеспечение используется в качестве приманки, все больше осознают проблему. Один из них, OBS Project, недавно написал в Твиттере: «Мы по-прежнему видим, как многие пользователи становятся жертвами поддельных веб-сайтов по спонсируемым Google ссылкам, распространяющим вредоносное ПО. Многие из них имитируют внешний вид реального сайта. У нас нет рекламы для OBS! Пожалуйста, скачивайте ТОЛЬКО с нашего официального сайта obsproject.com или нашего GitHub!»
Инфлюенсер NFT «NFT God» потерял то, что он назвал «количество моего собственного капитала, которое изменило жизнь» после попытки загрузить OBS по рекламной ссылке из поиска Google.
Вместо того, чтобы получить программное обеспечение, он непреднамеренно установил вредоносное ПО, которое позволило злоумышленникам украсть всю его криптовалюту и NFT, захватить его подстек и отправить электронные письма со взломанными ссылками его 16 000 подписчиков.
Как реагировать на угрозу Google Ad
Руководитель отдела исследований Nextron Systems Флориан Рот сообщил: «Во времена, когда онлайн-реклама в основном связана с вредоносными программами, блокировщики рекламы следует рассматривать как средство самозащиты, а их использование — важный вклад в надежную систему безопасности».
В более широком смысле Deutsche Telekom CERT предложил: «Чтобы защититься от этой угрозы, онлайн-пользователи должны дважды проверять, прежде чем загружать файлы с сомнительных веб-сайтов. В случае сомнений пользователи могут обратиться к надежному источнику, чтобы найти законный URL-адрес данного продукта или программного обеспечения».
«Компании должны установить политики для блокировки программного обеспечения из ненадежных источников», — добавили они. «Программное обеспечение, необходимое для нормальной работы бизнеса, должно предоставляться через доверенные репозитории. Кроме того, решения EDR могут помочь обнаружить подозрительное поведение похитителей информации».
Читайте также: Лучшие решения Endpoint Detection & Response (EDR)
Группа Hive Ransomware прервана
Киберзащитники также получили хорошие новости для разнообразия: сегодня Министерство юстиции США объявило о глобальных скоординированных усилиях по нарушению деятельности группы вымогателей Hive.
С июля 2022 года Министерство юстиции заявило, что ФБР «проникло в компьютерные сети Hive, захватило его ключи дешифрования и предложило их жертвам по всему миру, не позволяя жертвам платить требуемый выкуп в размере 130 миллионов долларов».
После проникновения в сеть Hive ФБР предоставило более 300 ключей дешифрования жертвам Hive, подвергшимся атаке, и распространило более 1000 дополнительных ключей дешифрования предыдущим жертвам Hive.
А в сотрудничестве с правоохранительными органами Германии и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов власти «захватили контроль над серверами и веб-сайтами, которые Hive использует для связи со своими членами, лишив Hive возможности атаковать и вымогать деньги у жертв».
