Вредоносные рекламные объявления в Google стали новым инструментом для хакерских атак. Как сообщает издание Bleeping Computer, хакеры используют рекламу в поисковой системе Google для перенаправления пользователей, которые пытаются загрузить и установить популярный текстовый редактор Notepad++, на мошеннические ресурсы.
По словам журналистов профильного издания, система Google Ads и ранее уже активно использовалась злоумышленниками для распространения вредоносного ПО, код которого встраивался в легитимные программы. В этом случае хакеры рассчитывают на невнимательность и доверчивость пользователей. Эту стратегию хакерских атак с использованием вредоносной рекламы в Google и Notepad++ заметили специалисты по информационной безопасности из компании Malwarebytes.
Аналитики Malwarebytes рассказали, что в течение последних месяцев хакеры практически без препятствий использовали Notepad++ как приманку, привлекая огромное количество пользователей со всего мира? Заставляя их скачивать вредоносное ПО. Эксперты из Malwarebytes подчеркивают, что точно определить конечный пэйлоад пока не удается. Однако существует предположение, что речь может идти о Cobalt Strike.
Как рассказали в Malwarebytes, если внимательно изучить поисковую выдачу в Google, становится очевидным, что среди предлагаемых ссылок много вредоносных, которые не имеют отношения к легитимному программному обеспечению. К примеру, при поиске фразы “скачать Notepad++” на различных языках пользователь увидит множество ссылок, в том числе и на сомнительные ресурсы. Однако все вредоносные ссылки располагаются во вкладке “Sponsored”, то есть, это рекламные объявления.
Эксперты по кибербезопасности предупреждают, что если пользователь перейдет по такой рекламной ссылке, он автоматически будет перенаправлен на мошеннический сайт notepad-xtreme.com, который маскируется под официальный сайт разработчиков Notepad++. При попытке скачать программу жертва получает вредоносный скрипт в формате HTA с уникальным идентификатором. Однако пэйлоад выдается единожды, и при попытке повторного скачивания пользователь столкнется с ошибкой 404.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.