Поиск дистрибутивов популярных программ через Google всегда был сопряжён с некоторым риском, но в последние дни киберпреступники значительно активизировались — ссылки на ресурсы с вредоносными загрузками показываются в рекламном блоке над органической поисковой выдачей. Сама же Google видимых действий не предпринимает, пишет Ars Techinca со ссылкой на информацию от организации Spamhaus.
Источник изображения: Towfiqu / unsplash.com
По ссылкам в рекламе открываются сайты, с которых скачиваются поддельные установочные файлы таких известных программ как Adobe Reader, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI Afterburner и Thunderbird. В реальности компьютеры заражаются вирусами семейств AuroraStealer, IcedID, Meta✴ Stealer, RedLine Stealer, Vidar, Formbook и Xloader. Ранее эти вредоносы распространялись через фишинговые кампании и спам, но за последний месяц киберпреступники облюбовали рекламную платформу Google Ads, демонстрирующую объявления в поисковой выдаче.
Вредоносы используют сложные механизмы виртуализации, что усложняет их обнаружение, и отправляют по нескольку HTTP-запросов на разные адреса, только один из которых принадлежит настоящему управляющему серверу — серверы же размещаются у общедоступных облачных провайдеров, включая Azure, Tucows, Choopa и Namecheap.
Представитель Google заявил, что киберпреступники часто используют сложных механизмы маскировки вредоносной активности, и компания за последние годы «запустила новые политики сертификации», направленные на проверку рекламодателей. О всплеске мошеннических действий в последние дни компания осведомлена — борьба с ними у неё в приоритете.