Google рекламные ролики, более опасные, чем вы думаете. Инфекции скрыты в «невинных» документах
Новая кампания по кибер -атакам использует рекламные объявления Google для распространения вредоносных программ для разгрузки, в частности для людей, которые ищут шаблоны юридических документов.
По словам исследователя в области кибербезопасности, известного под псевдонимом «Googloader» на платформе X, злоумышленники скрывают вредоносное программное обеспечение в рекламных объявлениях, которое, по -видимому, предназначено для контрактов и юридических соглашений, пишет Darkreading.
Кампания атаки проводится через рекламную учетную запись, принадлежащую компании Med Media Group Ltd. в Великобритании, который был скомпрометирован и использован для мошеннических целей.
По словам исследователя, злоумышленники приобрели веб -домен, настроили необходимую инфраструктуру и начали размещать рекламу в поисковой системе Google.
Пользователи, которые ищут такие документы, как «Саббонское конфиденциальное соглашение», могут достичь вредоносного сайта, Lawliner (.) Com, контролируемого киберпреступниками.
Этот, казалось бы, безобидный сайт служит точкой распространения для Gootloader, вредоносного ПО, специализирующегося на сборе конфиденциальной информации.
Новая тактика для старой угрозы — также в Google
Если в прошлом злоумышленники использовали методы для оптимизации результатов в поисковых системах (SEO) для привлечения жертв для скомпрометированных сайтов, новый метод умольчания позволяет им охватывать пользователей непосредственно через платную рекламу.
Эксперты по безопасности подчеркивают, что нападения на юридические фирмы не являются новизны, учитывая большое количество конфиденциальной информации, которой управляют эти учреждения.
Полученные данные могут быть использованы для вымогательства, продажи на черном рынке или для новых направленных кибер -атак.
По словам исследователя, изучающего Googloader, злоумышленники ранее использовали более 5 миллионов ключевых слов в юридической области в скомпрометированных блогах WordPress. Новый метод указывает на то, что преступники теперь создали свою собственную инфраструктуру для распределения вредоносных программ.
Как работает атака Gootloader, на самом деле
Пользователям, которые получают доступ к Lawliner (.) Com, рекомендуется загружать юридический документ после входа в адрес электронной почты. Позже они получают электронное письмо от «Адвокат@skhm (.) Org», которое содержит ссылку для загрузки файла .docx.
Тем не менее, документ содержит, на самом деле, архивный файл в формате .zip, который при дискомфорте обеспечивает скрипт JavaScript (non_disclouest_agreement_nda.js).
Выполнение этого файла запускает установку Gootloader, который создает запланированную задачу в папке приложения/роуминга пользователя и запускает скрипт PowerShell.
Сценарий собирает важную информацию о системе, включая активные процессы, имена файлов на рабочем столе, переменные окружающей среды и доступные единицы.
Все эти данные постоянно передаются в серию из 10 полей, некоторые из которых представляют собой скомпрометированные сайты WordPress, а другие создаются злоумышленниками для маскировки мошеннической деятельности.
Gootloader используется как в качестве программы кражи данных, так и в качестве первого вектора атаки перед возможной инфекцией вымогателей.
Attacles может использовать вредоносное ПО для выполнения дополнительных команд или для установки вредоносного программного обеспечения, используя механизм, называемый Gootbot.
Исследователи по кибербезопасности определили два веб -адреса, связанные с этой кампанией — Lawliner (.) Com и Skhm (.) Org — и рекомендуют блокировать их в системах безопасности ИТ.
Кроме того, рекомендуется проверить историю веб -трафика, чтобы определить возможные связи с этими областями и предотвратить будущие атаки.
