Современные злоумышленники все чаще используют тактику обмана в сфере онлайн-рекламы, создавая убедительные приманки, известные как «белые страницы». Один из недавних случаев касается вредоносной рекламы Google, маскирующейся под законную загрузку Cisco AnyConnect.
Порядок действий злоумышленников
Злоумышленники использовали домен anyconnect-secure-client.com, который был зарегистрирован менее чем за день до запуска рекламы. Интересно, что они воспользовались репутацией Технического университета Дрездена для завоевания доверия пользователей.
Механизм атаки
Основной целью рекламы была не прямая кража данных у жертв, а уклонение от обнаружения службами безопасности. Пользователи, кликнувшие на рекламу, перенаправлялись на сайт, имитирующий бренд Cisco. На этом сайте находился вредоносный установщик, содержащий троян удаленного доступа NetSupport (RAT).
Что произошло дальше
Реклама появилась в результатах поиска по запросу «cisco anyconnect», что обеспечивало дополнительный приток жертв. Распространение вредоносного ПО осуществлялось с помощью PHP-скрипта, который упрощал загрузку с взломанного сайта WordPress.
- Вредоносный установщик имел цифровую подпись и действующий сертификат.
- Он извлек файл с именем client32.exe, который известен своей связью с NetSupport RAT.
- После выполнения RAT устанавливала соединения с двумя внешними IP-адресами: 91.222.173.67 и 199.188.200.195.
Неудачи атакующих
Несмотря на продуманную стратегию, в ней были обнаружены недостатки. Например, недавно зарегистрированное доменное имя могло быть подвергнуто проверке алгоритмами обнаружения Google. Кроме того, хакеры раскрыл свои «карты», оставив в коде файлы cookie университета, содержащие информацию о языке браузера, что, вероятно, указывало на российское происхождение.
Выводы и перспективы
Наличие цифровой подписи у вредоносного ПО и его изначально низкая скорость обнаружения позволяют предположить, что атака могла успешно скомпрометировать достаточное количество целей до ее выявления. Этот инцидент подчеркивает продолжающуюся игру в кошки-мышки между защитниками и нападающими, акцентируя внимание на необходимости постоянного улучшения мер безопасности против изощренной тактики злоумышленной рекламы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Злоумышленники используют рекламу для распространения NetSupport RAT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.