Малвертайзинг продолжает набирать популярность.
Киберпреступники придумали изощренную схему для заражения корпоративных сетей вредоносным программным обеспечением. Они размещают в поисковых системах, таких как Google, рекламные объявления со ссылками на скачивание популярных утилит для Windows. Однако вместо легитимных программ жертвы получают вредоносные файлы.
Согласно отчету компании Rapid7 , специализирующейся на кибербезопасности, злоумышленники разместили в Google рекламу, продвигавшую поддельные сайты для загрузки Putty и WinSCP. Putty - популярный SSH-клиент, а WinSCP используется для безопасного обмена файлами по протоколам SFTP и FTP. Эти программы широко применяются системными администраторами, что делает их ценной мишенью для хакеров.
Рекламные объявления содержали ссылки на сайты с доменными именами, очень похожими на названия легитимных ресурсов, например puutty.org, vvinscp.net и другими созвучными вариантами с опечатками. Когда пользователь переходил по ссылке из рекламы, ему предлагалось скачать ZIP-архив, якобы содержащий нужную программу.
Однако внутри архива находились не сами утилиты, а вредоносный исполняемый файл Setup.exe, маскирующийся под установщик Python. При запуске этого файла активировался сложный механизм для внедрения вредоносного кода через уязвимость DLL Sideloading. Злоумышленники заменили легитимную библиотеку python311.dll на свою вредоносную версию.
Загруженная вредоносная DLL распаковывала и запускала зашифрованный Python-скрипт, устанавливающий опасный инструмент Sliver для удаленного доступа к системе. С его помощью хакеры могли загружать другие вредоносные утилиты вроде бэкдоров Cobalt Strike.
Получив первоначальный доступ к корпоративной сети, злоумышленники похищали конфиденциальные данные, пытались получить полный контроль над доменным контроллером и в конечном счете развернуть программу-вымогатель для шифрования файлов жертвы.
Эксперты Rapid7 отметили сходство этой кампании с недавно отслеженными атаками, использовавшими вымогатель BlackCat/ALPHV, который был обезврежен в прошлом году. Однако конкретное семейство вымогательского ПО в данном случае не раскрывается.
Использование поддельной поисковой рекламы для распространения вредоносов приобрело масштабный характер в последние пару лет. Эта техника называется малвертайзинг. Злоумышленники размещали объявления для ПО вроде CPU-Z, Notepad++, Grammarly, μTorrent, Dashlane и многих других известных программ.
Совсем недавно хакеры выкупили рекламу с легитимным URL криптобиржи Whales Market, но ссылка вела на фишинговый сайт для кражи криптовалюты у посетителей. Таким образом, эта схема представляет серьезную угрозу как для предприятий, так и для рядовых пользователей.
Эксперты призывают с осторожностью относиться к сторонним ссылкам на скачивание программ, даже в случаях, когда они рекламируются в популярных поисковых системах. Предпочтительным способом остается загрузка ПО только с официальных сайтов разработчиков.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале