- 13,854
- 20
- 8 Ноя 2022
Злоумышленники используют Google Ads для распространения фишинговых сайтов.
Исследователи кибербезопасности MalwareHunterTeam Для просмотра ссылки Войди
В результатах поиска Google вредоносные сайты выдают себя за сайты популярных программ:
- LightShot;
- Rufus;
- 7-Zip;
- FileZilla;
- LibreOffice;
- AnyDesk;
- Awesome Miner;
- TradingView;
- WinRAR;
- VLC.
Нажатие на рекламу приводит посетителя на сайт, который является копией настоящего сайта разработчика ПО. Однако, с этого сайта пользователь загружает не легитимное ПО, а MSI-файл, который устанавливает различные вредоносные программы в зависимости от кампании.
Список вредоносных программ на данный момент включает различные программы-вымогатели, а также:
- RedLine Stealer (используется для кражи учетных данных, cookie-файлов и криптовалюты);
- Для просмотра ссылки Войди
или Зарегистрируйся (загрузчик для доставки других вредоносных программ); - Vidar;
- Cobalt Strike;
- Royal Ransomware.
Исследователи полагают, что DEV-0569 — это брокер начального доступа, который использует свою систему распространения вредоносных программ для взлома корпоративных сетей. Они используют этот доступ в своих собственных атаках или продают его другим киберпреступникам, в том числе, группировке Royal.
Эксперты также получили доступ к веб-панели DEV-0569, используемой для отслеживания их кампании, и Для просмотра ссылки Войди
Скриншот панели управления DEV-0569 Хакеры очищают данные панели каждый день, но есть информация, которая может помочь посчитать примерное количество жертв – это корреляционный ID записей (это может быть оценочное значение количества жертв этой панели, в данном случае последнее значение на сегодня — 63576 жертв.
Несмотря на то, что Google удаляет рекламу по мере обнаружения, злоумышленники постоянно запускают новые рекламные кампании и новые сайты, заполоняя ими поисковые выдачи Google.
- Источник новости
- www.securitylab.ru
