Новости DeerStealer: настройка 2FA ещё никогда не была настолько рискованной

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Как установка Google Authenticator с официального сайта лишает пользователей приватности.


8735d33vsd78kv6zj3a91gjjh3rdb837.jpg


Специалисты по кибербезопасности из компании Malwarebytes Для просмотра ссылки Войди или Зарегистрируйся новую схему распространения вредоносного программного обеспечения. Злоумышленники используют Google Ads , чтобы выдать вредоносную программу за официальное приложение Google Authenticator, используя при этом официальный домен в качестве приманки.


8r2iayor3m3xhzngjmauz24z2je5qc5k.png


Схема работает следующим образом: при поиске Google Authenticator пользователь видит рекламное объявление, якобы от официального источника. На самом деле за рекламой стоит фейковый аккаунт. При переходе по ссылке происходит ряд перенаправлений на подконтрольные мошенникам домены.


cbugquec7qnwr5qm22w4l9ncmxjl541i.png


В итоге пользователь попадает на поддельный сайт, имитирующий страницу Google Authenticator. Там предлагается скачать исполняемый файл.


tv1edq7btfo1fasruc5sz3sc1a946j6o.png


Затем следует перенаправление на GitHub , где и размещена полезная нагрузка. Использование легитимного хостинга для разработчиков внушает доверие пользователям и позволяет обойти многие системы безопасности.


ya09jq2b19qyu67hkr5wfhx0bqj4bzc5.png


Скачиваемый файл содержит вредоносную программу DeerStealer. Она предназначена для кражи личных данных пользователя. Вся украденная информация тут же отправляется на сервер злоумышленников.

Примечательно, что вредоносный файл имеет действительную цифровую подпись, что ещё больше вводит пользователей в заблуждение.


refrv7kd2y2nxtm7se6qhv0nl9rfuocw.png


Эксперты Malwarebytes отметили особую иронию ситуации: пытаясь повысить безопасность с помощью двухфакторной аутентификации, пользователи рискуют стать жертвами мошенников, случайно наткнувшись на подобный фишинговый сайт, замаскированный под официальный при помощи множества перенаправлений.

Ранее мы уже неоднократно писали ( Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся ) про подобную эксплуатацию Google Ads, кода злоумышленники использовали в спонсорском блоке легитимные домены крупных сервисов, которые на деле вели на сайт-ловушку.

Специалисты рекомендуют не переходить по рекламным ссылкам для скачивания программного обеспечения. Вместо этого следует напрямую посещать официальные сайты разработчиков. А чтобы вредоносная реклама не сбивала вас с толку, не лишним будет установить проверенный блокировщик рекламных объявлений.
 
Источник новости
www.securitylab.ru

Похожие темы