Инцидент этот далеко не первый. Проблема рекламной сети Google Ads по-прежнему заключается в плохой модерации объявлений и невероятной схожести реальных результатов поиска с рекламными вставками. В результате пользователи имеют дело с сотнями вредоносных сайтов, мимикрирующих под официальные ресурсы для загрузки множества распространенных и, как правило, бесплатных приложений.
Реклама, на которую кликнул NFT God, выглядела примерно так:
Пользователь скачал исполняемый файл, запустил его и не заметил ничего подозрительного. Однако через несколько часов уже были взломаны две его учетки в Twitter, в которых появились мошеннические сообщения, связанные с криптовалютами. Пострадавший узнал об этом из сообщений от знакомых. Дальше выяснилось, что также был похищен доступ к каналу Discord. С сервиса Substack по базе из 16 тысяч подписчиков от имени NFT God рассылались мошеннические письма. Наконец, из криптокошелька пользователя преступники украли «значительные» средства. NFT God использовал аппаратный криптокошелек Ledger, но не смог настроить его так, чтобы ключи для работы с криптокошельком были недоступны, когда брелок отключен. Вместо этого Ledger был настроен в режиме , то есть вся информация по сути хранилась на компьютере и была похищена злоумышленниками.
Исследование издания Bleeping Computer показывает множество других примеров вредоносных программ, распространяющихся через рекламные объявления под видом легитимного ПО. Например, так выглядит реклама вредоносного сайта, предлагающего скачать утилиту для создания загрузочных флешек Rufus:
Еще одно объявление загружает вредоносную программу под видом редактора Notepad++. Здесь используется URL, максимально похожий на настоящий:
Другие мошенники, впрочем, даже не пытаются найти похожее доменное имя. В этом примере программа для кражи личных данных Redline распространяется под видом утилиты CCleaner:
Во всех случаях из-за особенностей рекламной системы Google вредоносные программы оказывались в списке результатов выше, чем легитимные веб-сайты. В день публикации статьи Bleeping Computer вредоносное ПО рекламировалось в результатах поиска по следующим названиям популярных программ: 7-Zip, Blender 3D, Capcut, CCleaner, Notepad++, OBS, Rufus, VirtualBox, VLC Media Player, WinRAR, Putty. Помимо этого, также упоминался аудиоредактор Audacity. На запрос от Bleeping Computer представители Google предоставили стандартный ответ: мы относимся к таким инцидентам серьезно, активно ищем нарушителей наших правил. Увы, это не мешает подобным инцидентам происходить с пугающей регулярностью. Все предоставленные Google примеры объявлений были, конечно же, заблокированы.
Это тот самый случай, когда блокировщик рекламы не только повышает комфорт при серфинге Интернета, но и обеспечивает некоторую дополнительную безопасность. Но именно такие инциденты подтверждают необходимость использования защитного ПО, на случай если вас подведет бдительность. Особенно опасны подобные атаки для неопытных пользователей (к каким относит себя и NFT God), не всегда способных отличить рекламу от настоящего поискового результата. Но дело не только в поиске: сценарий загрузки программ остается важной целью киберпреступников, и способов атаки здесь множество. Это и домены-клоны с опечатками, на которые можно попасть, минуя поисковую систему. Или даже метод распространения вредоносных программ через ссылки в описании видеороликов на YouTube, описанный . Этот способ отчасти эксплуатирует свойства поисковой системы Google, отдающей приоритет в результатах видеороликам.
Что еще произошло:
Новые публикации от экспертов «Лаборатории Касперского» посвящены прогнозам по и конкретным для российских центров мониторинга и реагирования. Две технических статьи описывают индикаторов компрометации (IOC) и работу .
Bleeping Computer об активной эксплуатации уязвимости в ПО для работы с интернет-магазином Galaxy App Store на смартфонах Samsung. Уязвимость эксплуатируется локально и позволяет направлять запросы, приводящие к установке произвольного софта из интернет-магазина, без ведома владельца.
В блог-посте исследователя Давида Потоцки описывается в системе Secure Boot на материнских платах MSI, в результате которой этот самый Secure Boot на ряде плат в принципе не работает.
в десктопном клиенте мессенджера Signal позволяла подменять отправляемые пользователем файлы. Особенности эксплуатации описаны в треде в Twitter.
