Podvodníci utrácí dolary za výsledky vyhledávání v Googlu, pro oblíbené aplikace AnyDesk, Dropbox a Telegram, které vedou ke škodlivým webům.
Vědci vystopovali původ několika stále častějších zlodějů informací (info-stealers) – včetně Redline, Taurus, Tesla a Amadey -, které hackeři doručují prostřednictvím reklam s platbou za kliknutí (PPC) ve výsledcích vyhledávání Google.
Společnost Morphisec uvedla, že za poslední měsíc vyšetřovala původ placených reklam, které se objevují na první stránce s výsledky vyhledávání a které vedou ke stažení škodlivých ISO balíčků aplikací AnyDesk, Dropbox a Telegram.
Není to poprvé, co jsme viděli falešnou verzi AnyDesk, populární aplikace pro vzdálenou plochu, prosazovanou prostřednictvím reklam zobrazujících se ve výsledcích vyhledávání Google. Jen před týdnem jsme viděli zmanipulované reklamy AnyDesk, které zobrazovaly verzi programu s trojským koněm. Tato dřívější kampaň dokonce překonala vlastní reklamní kampaň společnosti AnyDesk na Googlu a její placené výsledky.
Tentokrát se Google PPC reklamy zaměřily na konkrétní rozsahy IP adres v USA a „pravděpodobně v některých dalších zemích“, napsali vědci. Necílené IP adresy jsou přesměrovány na legitimní stránky, které stahují správné aplikace.
Jak fungují tyto útočné řetězce
Vědci zkoumali tři útočné řetězce, které vedly ke kompromisu Redline, Taurus a novému kompromisu mini-Redline. Dva z protivníků – ti, kteří využívají Taurus a mini-Redlineare – používají podobné vzory, certifikáty a centra velení a řízení (C2s). Třetí používá Redline.
Proč to Google nezachytí?
Google říká, že používá vlastní technologii a nástroje pro detekci malwaru k „pravidelnému skenování všech kreativ“, že zakazuje reklamy, když se pokouší volat čtvrté strany nebo subsyndikace necertifikovaným inzerentům, že stahuje reklamy distribuující malware a že oprávněným kupujícím, u nichž bylo zjištěno, že reklamy obsahují malware, byly pozastaveny účty minimálně na tři měsíce.
Jak je tedy možné, že se tyto špatné reklamy financované podvodníky, kteří utrácejí skutečné peníze za placenou reklamu, neustále objevují v horní části výsledků vyhledávání? Vyšetřování společnosti Morphisec odhalilo, že rozbalený malware Redline dokáže „zmást i ty největší dodavatele zabezpečení“ pomocí technik zmatení popsaných níže. Stručně řečeno, tyto útoky uspěly, protože podvodníci utrácejí skutečné peníze za Google AdWords, když přišli na to, jak se vyhnout screeningu malwaru Googlem a vytvořili web s podepsaným a legitimním certifikátem navržený klamat návštěvníky.
Jak popsali vědci, všechny útoky začínají jednou z tuctu placených reklam Google, které vedou na web se stažením obrazu ISO – ten, který je dostatečně velký, aby proklouzl kolem skenování. „Velikost obrazu ISO je větší než 100 MB, což umožňuje obrazu obejít některá skenovací řešení, která jsou optimalizována na propustnost a velikost,“ vysvětlili. “Připojení obrazu ISO vede k spustitelným souborům, které jsou obvykle, ale ne vždy, digitálně podepsány a legitimně ověřeny.”
Přečtěte si více zde: threatpost.com
@RadekVyskovsky
