Исследователи Securonix раскрыли вредоносную кампанию, реализованную через поддельный WinSCP.
Киберпреступники манипулируют результатами поисковой выдачи Google и размещают в ней поддельные рекламные объявления, обманывая пользователей, которые пытаются установить легитимный софт WinSCP .
Компания Securonix Для просмотра ссылки Войдиили Зарегистрируйся эту хакерскую активность под названием «SEO#LURKER». По словам исследователей, вредоносная реклама перенаправляет пользователей на взломанный веб-сайт «gameeweb[.]com» на WordPress , который затем перенаправляет их на фишинговый сайт, контролируемый злоумышленниками.
Для создания рекламных редирект-объявлений, злоумышленники используют Для просмотра ссылки Войдиили Зарегистрируйся Google. Основная цель этой многоступенчатой атаки — привлечь пользователей на фальшивый сайт WinSCP с доменом «winccp[.]net» и убедить загрузить вредоносное ПО.
Примечательно, что успех перенаправления напрямую зависит от правильности заданного заголовка ссылки. Если же ссылка задана неверно, хакеры просто Для просмотра ссылки Войдиили Зарегистрируйся ничего не подозревающего пользователя.
Возвращаясь к сценарию успешного редиректа, стоит отметить, что вредоносное ПО поставляется в виде ZIP-архива, содержащего исполняемый файл. При его запуске используется DLL Sideloading для выполнения вредоносной DLL-библиотеки, в то время как подлинный установщик WinSCP нужен для поддержания завесы обмана.
Дальнейшие вредоносные действия обеспечивают Python -скрипты, которые распаковываются и активируются в фоне. Эти скрипты предназначены для связи с удалённым сервером злоумышленников и получения дальнейших инструкций для выполнения команд на заражённом устройстве.
Исходя из использования Google Ads для распространения вредоносного ПО, предполагается, что целью кампании являются пользователи, которые целенаправленно ищут программное обеспечение WinSCP, однако нет никакой уверенности, что хакеры не применят подобный сценарий к любому другому популярному софту.
Так, в конце прошлого месяца мы уже Для просмотра ссылки Войдиили Зарегистрируйся вам о малвертайзинговой кампании, раскрытой исследователями из Malwarebytes , нацеленной на разработчиков, которые ищут PyCharm в поисковой строке Google. Разумеется, вместо желаемого софта, наивные жертвы скачивали на свой компьютер вредоносное ПО.
В последнее время малвертайзинг становится всё более популярным среди киберпреступников, со множеством весьма похожих друг на друга вредоносных кампаний.
Киберпреступники манипулируют результатами поисковой выдачи Google и размещают в ней поддельные рекламные объявления, обманывая пользователей, которые пытаются установить легитимный софт WinSCP .
Компания Securonix Для просмотра ссылки Войди
Для создания рекламных редирект-объявлений, злоумышленники используют Для просмотра ссылки Войди
Примечательно, что успех перенаправления напрямую зависит от правильности заданного заголовка ссылки. Если же ссылка задана неверно, хакеры просто Для просмотра ссылки Войди
Возвращаясь к сценарию успешного редиректа, стоит отметить, что вредоносное ПО поставляется в виде ZIP-архива, содержащего исполняемый файл. При его запуске используется DLL Sideloading для выполнения вредоносной DLL-библиотеки, в то время как подлинный установщик WinSCP нужен для поддержания завесы обмана.
Дальнейшие вредоносные действия обеспечивают Python -скрипты, которые распаковываются и активируются в фоне. Эти скрипты предназначены для связи с удалённым сервером злоумышленников и получения дальнейших инструкций для выполнения команд на заражённом устройстве.
Исходя из использования Google Ads для распространения вредоносного ПО, предполагается, что целью кампании являются пользователи, которые целенаправленно ищут программное обеспечение WinSCP, однако нет никакой уверенности, что хакеры не применят подобный сценарий к любому другому популярному софту.
Так, в конце прошлого месяца мы уже Для просмотра ссылки Войди
В последнее время малвертайзинг становится всё более популярным среди киберпреступников, со множеством весьма похожих друг на друга вредоносных кампаний.
- Источник новости
- www.securitylab.ru