Новости Вредоносная реклама имитирует новостной сайт и распространяет троянизированный CPU-Z

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы.


На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.
Новые мошеннические объявления были обнаружены специалистами , которые считают, что эта активность является частью замеченной ранее . Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.

На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport.


Вредоносная реклама

Нажав на такую рекламу, жертва проходила через ряд редиректов, которые обманывали защитные сканеры Google и отфильтровать краулеры, VPN, ботов и так далее, перенаправляя их на специальный сайт-ловушку, не содержащий ничего вредоносного.


Перенаправления

Пользователи же попадали на фальшивый новостной сайт, размещенный на одном из следующих доменов:
  • argenferia[.]com;
  • realvnc[.]pro;
  • corporatecomf[.]online;
  • cilrix-corp[.]pro;
  • thecoopmodel[.]com;
  • winscp-apps[.]online;
  • wireshark-app[.]online;
  • cilrix-corporate[.]online;
  • workspace-app[.]online.
Очевидно, создавая клон реального новостного сайта, злоумышленники стремились вызвать у пользователей больше доверия, поскольку многие знакомы с сайтами, на которых помимо технических новостей размещаются и ссылки для загрузки полезных утилит.


Фальшивка и настоящий сайт

Загрузка установщика CPU-Z с ресурса злоумышленников приводила к скачиванию файла MSI, содержащего вредоносный PowerShell-скрипт, в котором исследователи опознали загрузчика вредоносного ПО FakeBat (он же EugenLoader).

Этот загрузчик извлекал полезную нагрузку Redline с удаленного URL-адреса и запускал ее на компьютере жертвы.



Напомним, что Redline представляет собой мощный инструмент для кражи данных, способный воровать пароли, файлы cookie и историю из различных браузеров и приложений, а также конфиденциальные данные криптовалютных кошельков.

Как сообщили представители Google, в настоящее время все вредоносные объявления, связанные с этой кампанией, уже удалены, а в отношении связанных с ними аккаунтов «приняты соответствующие меры».

 
Сверху Снизу