Новости Под видом Google Authenticator распространяется инфостилер DeerStealer

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.146
Репутация
11.695
Реакции
61.916
RUB
50
Компания Google стала жертвой собственной рекламной платформы, пишут исследователи Malwarebytes.

Дело в том, что злоумышленники создают объявления с рекламой фальшивого приложения Google Authenticator, под видом которого распространяют малварь DeerStealer.

Эксперты рассказывают, что злоумышленникам по-прежнему удается размещать рекламу в поисковой выдаче Google, при этом объявления якобы связаны с легитимными доменами, что создает ложное ощущение доверия у пользователей. Так, в новой вредоносной кампании злоумышленники создают объявления, которые рекламируют Google Authenticator, когда пользователи ищут это ПО в Google.



Убедительнее всего выглядит вредоносная реклама, где в качестве URL-адреса указывается google.com и , чего явно не должно происходить, если рекламу создает сторонняя организация.

При клике на фальшивое объявление посетитель проходит через серию перенаправлений, а в итоге попадает на целевую страницу chromeweb-authenticators.com, которая выдает себя за подлинный портал Google.



Исследователи компании ANY.RUN, специализирующиеся на анализе вредоносного ПО, тоже следили за этой кампанией и поделились о лендингах хакеров. По словам аналитиков, злоумышленники использовали домены с похожими названиями, например authenticcator-descktop[.]com, chromstore-authentificator[.]com и authentificator-gogle[.]com.

При нажатии на кнопку Download Authenticator происходит загрузка подписанного исполняемого файла с именем Authenticator.exe ( ), размещенного на GitHub. Репозиторий, где размещается малварь, называется authgg, а его владельцем выступает authe-gogle.

Образец малвари, загруженный Malwarebytes, оказался подписан компанией Songyuan Meiying Electronic Products Co., Ltd. за день до загрузки, а специалисты ANY.RUN получили полезную нагрузку, подписанную Reedcode Ltd.



Действительная подпись обеспечивает файлу доверие в Windows, позволяет обойти защитные решения и запуститься на устройстве жертвы без предупреждений.

В итоге в системе пользователя разворачивается малварь DeerStealer, ворующая учетные данные, файлы cookie и другую информацию, хранящуюся в браузере.

Исследователи отмечают, что уже сталкивались с этой эффективной стратегией по маскировке URL-адресов в других вредоносных кампаниях, в том числе связанных с , , и . Тем не менее, в Google продолжают «не замечать» такие проблемы.

В Malwarebytes пишут, что при этом Google проверяет личность рекламодателя, что демонстрирует еще одно слабое место в рекламной платформе ИТ-гиганта.

Издание сообщило, что в настоящее время Google уже заблокировала фейкового рекламодателя, о котором сообщила Malwarebytes.

Когда журналисты поинтересовались у представителей компании, каким образом злоумышленники продолжают размещать вредоносную рекламу и выдают себя за легитимные компании, в Google ответили, что злоумышленники уклоняются от обнаружения, создавая тысячи аккаунтов, используя манипуляции с текстом и маскировку, чтобы показывать рецензентам и автоматическим системам проверки совсем не те сайты, которые в итоге видят обычные пользователи.


 
Сверху Снизу