Каким образом сотни интернет-пользователей умудрились загрузить троянский браузер вместо легитимного?
Новая кампания по распространению вредоносного ПО через рекламную платформу Google Ads совпала с запуском веб-браузера Arc для Windows , что привело к заражению множества пользователей троянскими установщиками.
Arc Browser — новый веб-обозреватель с инновационным пользовательским интерфейсом, который отличает его от традиционных интернет-браузеров. После успешного запуска в июле 2023 года для macOS и множества положительных отзывов от технических изданий и пользователей, выход версии для Windows вызвал всеобщий интерес к данному продукту.
Интерфейс браузера Arc для Windows
Согласно Для просмотра ссылки Войдиили Зарегистрируйся компании Malwarebytes , киберпреступники хорошо подготовились к запуску Arc для Windows, заранее разместив серию злонамеренных объявлений в Google Ads, чтобы привлечь пользователей, нацеленных на загрузку нового веб-браузера.
Секрет их успеха прост: всё дело в том, что рекламная платформа Google уже давно имеет значительную проблему, позволяющую злоумышленникам размещать объявления с отображением легитимных URL, что ранее использовалось для атак на Amazon, Whales Market, WebEx и YouTube. Одну из таких атак мы Для просмотра ссылки Войдиили Зарегистрируйся в прошлом году.
Исследователи Malwarebytes обнаружили рекламные результаты по запросам «arc installer» и «arc browser windows», демонстрирующие официальный адрес браузера Arc. Однако после клика по рекламе пользователи не попадают на официальный сайт, а перенаправляются на вредоносные домены, визуально напоминающие реальный сайт Arc.
Рекламная выдача, отображающая легитимный URL, но ведущая на сторонний сайт
Когда пользователь прошёл череду перенаправлений, домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит законно, многие пользователи банально не поднимают глаза в адресную строку.
Домен отличается после перехода по рекламной ссылке в Google
При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.
Этот троянский установщик использует API MEGA для совершения C2 -операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.
В Malwarebytes также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.
Аналитики предполагают, что конечное вредоносное ПО во всех рассмотренных атаках является инфостилером, хотя это ещё не подтверждено окончательно. Поскольку настоящий браузер Arc, в конечном итоге, всё же устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.
Киберпреступники часто используют ажиотаж вокруг новых программ или игр для распространения вредоносного ПО. Чтобы избежать подобных атак, рекомендуется избегать любых рекламных результатов в поисковой выдаче как Google, так и в других поисковых системах. Использование проверенных блокировщиков рекламы позволит убить проблему на корню, так как банально скроет все рекламные ссылки в поисковой системе.
Кроме того, стоит всегда проверять подлинность того домена, с которого вы планируете загрузить какой-либо инсталлятор, даже если вы уверены, что изначально переходили на легитимный. Фокусы с подменой отображаемого адреса в поисковой выдаче Google делают даже технически подкованных пользователей особенно уязвимыми к подобному роду атак.
Новая кампания по распространению вредоносного ПО через рекламную платформу Google Ads совпала с запуском веб-браузера Arc для Windows , что привело к заражению множества пользователей троянскими установщиками.
Arc Browser — новый веб-обозреватель с инновационным пользовательским интерфейсом, который отличает его от традиционных интернет-браузеров. После успешного запуска в июле 2023 года для macOS и множества положительных отзывов от технических изданий и пользователей, выход версии для Windows вызвал всеобщий интерес к данному продукту.
Интерфейс браузера Arc для Windows
Согласно Для просмотра ссылки Войди
Секрет их успеха прост: всё дело в том, что рекламная платформа Google уже давно имеет значительную проблему, позволяющую злоумышленникам размещать объявления с отображением легитимных URL, что ранее использовалось для атак на Amazon, Whales Market, WebEx и YouTube. Одну из таких атак мы Для просмотра ссылки Войди
Исследователи Malwarebytes обнаружили рекламные результаты по запросам «arc installer» и «arc browser windows», демонстрирующие официальный адрес браузера Arc. Однако после клика по рекламе пользователи не попадают на официальный сайт, а перенаправляются на вредоносные домены, визуально напоминающие реальный сайт Arc.
Рекламная выдача, отображающая легитимный URL, но ведущая на сторонний сайт
Когда пользователь прошёл череду перенаправлений, домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит законно, многие пользователи банально не поднимают глаза в адресную строку.
Домен отличается после перехода по рекламной ссылке в Google
При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.
Этот троянский установщик использует API MEGA для совершения C2 -операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.
В Malwarebytes также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.
Аналитики предполагают, что конечное вредоносное ПО во всех рассмотренных атаках является инфостилером, хотя это ещё не подтверждено окончательно. Поскольку настоящий браузер Arc, в конечном итоге, всё же устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.
Киберпреступники часто используют ажиотаж вокруг новых программ или игр для распространения вредоносного ПО. Чтобы избежать подобных атак, рекомендуется избегать любых рекламных результатов в поисковой выдаче как Google, так и в других поисковых системах. Использование проверенных блокировщиков рекламы позволит убить проблему на корню, так как банально скроет все рекламные ссылки в поисковой системе.
Кроме того, стоит всегда проверять подлинность того домена, с которого вы планируете загрузить какой-либо инсталлятор, даже если вы уверены, что изначально переходили на легитимный. Фокусы с подменой отображаемого адреса в поисковой выдаче Google делают даже технически подкованных пользователей особенно уязвимыми к подобному роду атак.
- Источник новости
- www.securitylab.ru