Security Week 2304: вредоносные программы в поисковых результатах Google

Security Week 2304: вредоносные программы в поисковых результатах Google
15 января пользователь NFT God опубликовал у себя в Twitter печальную историю о том, как у него украли сбережения в криптовалюте. Он также временно потерял доступ к своим учетным записям в соцсетях, каналу в Discord и другим ресурсам. Причиной стала попытка загрузить софт для скринкастинга Open Broadcaster Sofware. Вместо настоящего сайта программы NFT God кликнул на рекламу и оттуда загрузил вредоносное ПО. Новость с описанием событий опубликована на Хабре, а по следам инцидента издание Bleeping Computer собрало список популярного ПО, в поисках которого вы можете столкнуться с трояном.


Инцидент этот далеко не первый. Проблема рекламной сети Google Ads по-прежнему заключается в плохой модерации объявлений и невероятной схожести реальных результатов поиска с рекламными вставками. В результате пользователи имеют дело с сотнями вредоносных сайтов, мимикрирующих под официальные ресурсы для загрузки множества распространенных и, как правило, бесплатных приложений.

Реклама, на которую кликнул NFT God, выглядела примерно так:


Пользователь скачал исполняемый файл, запустил его и не заметил ничего подозрительного. Однако через несколько часов уже были взломаны две его учетки в Twitter, в которых появились мошеннические сообщения, связанные с криптовалютами. Пострадавший узнал об этом из сообщений от знакомых. Дальше выяснилось, что также был похищен доступ к каналу Discord. С сервиса Substack по базе из 16 тысяч подписчиков от имени NFT God рассылались мошеннические письма. Наконец, из криптокошелька пользователя преступники украли «значительные» средства. NFT God использовал аппаратный криптокошелек Ledger, но не смог настроить его так, чтобы ключи для работы с криптокошельком были недоступны, когда брелок отключен. Вместо этого Ledger был настроен в режиме Hot Wallet , то есть вся информация по сути хранилась на компьютере и была похищена злоумышленниками.

Исследование издания Bleeping Computer показывает множество других примеров вредоносных программ, распространяющихся через рекламные объявления под видом легитимного ПО. Например, так выглядит реклама вредоносного сайта, предлагающего скачать утилиту для создания загрузочных флешек Rufus:


Еще одно объявление загружает вредоносную программу под видом редактора Notepad++. Здесь используется URL, максимально похожий на настоящий:


Другие мошенники, впрочем, даже не пытаются найти похожее доменное имя. В этом примере программа для кражи личных данных Redline распространяется под видом утилиты CCleaner:


Во всех случаях из-за особенностей рекламной системы Google вредоносные программы оказывались в списке результатов выше, чем легитимные веб-сайты. В день публикации статьи Bleeping Computer вредоносное ПО рекламировалось в результатах поиска по следующим названиям популярных программ: 7-Zip, Blender 3D, Capcut, CCleaner, Notepad++, OBS, Rufus, VirtualBox, VLC Media Player, WinRAR, Putty. Помимо этого, также упоминался аудиоредактор Audacity. На запрос от Bleeping Computer представители Google предоставили стандартный ответ: мы относимся к таким инцидентам серьезно, активно ищем нарушителей наших правил. Увы, это не мешает подобным инцидентам происходить с пугающей регулярностью. Все предоставленные Google примеры объявлений были, конечно же, заблокированы.

Это тот самый случай, когда блокировщик рекламы не только повышает комфорт при серфинге Интернета, но и обеспечивает некоторую дополнительную безопасность. Но именно такие инциденты подтверждают необходимость использования защитного ПО, на случай если вас подведет бдительность. Особенно опасны подобные атаки для неопытных пользователей (к каким относит себя и NFT God), не всегда способных отличить рекламу от настоящего поискового результата. Но дело не только в поиске: сценарий загрузки программ остается важной целью киберпреступников, и способов атаки здесь множество. Это и домены-клоны с опечатками, на которые можно попасть, минуя поисковую систему. Или даже метод распространения вредоносных программ через ссылки в описании видеороликов на YouTube, описанный здесь . Этот способ отчасти эксплуатирует свойства поисковой системы Google, отдающей приоритет в результатах видеороликам.

Что еще произошло:

Новые публикации от экспертов «Лаборатории Касперского» посвящены прогнозам по корпоративной безопасности и конкретным рекомендациям для российских центров мониторинга и реагирования. Две технических статьи описывают принципы сбора и применения индикаторов компрометации (IOC) и работу с дизассемблером Ghidra .

Bleeping Computer сообщает об активной эксплуатации уязвимости в ПО для работы с интернет-магазином Galaxy App Store на смартфонах Samsung. Уязвимость эксплуатируется локально и позволяет направлять запросы, приводящие к установке произвольного софта из интернет-магазина, без ведома владельца.

В блог-посте исследователя Давида Потоцки описывается уязвимость в системе Secure Boot на материнских платах MSI, в результате которой этот самый Secure Boot на ряде плат в принципе не работает.

Уязвимость в десктопном клиенте мессенджера Signal позволяла подменять отправляемые пользователем файлы. Особенности эксплуатации описаны в этом треде в Twitter.
google ads
Alt text

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь