Злоумышленники используют поддельные результаты поиска и поддельную рекламу Google, которые обманом заставляют пользователей, желающих загрузить законное программное обеспечение, такое как WinSCP, устанавливать вредоносное ПО вместо этого.
Компания по кибербезопасности Securonix отслеживает текущую активность под названием SEO #LURKER.
"Вредоносная реклама направляет пользователя на взломанный веб-сайт WordPress gameeweb[.] com, который перенаправляет пользователя на фишинговый сайт, контролируемый злоумышленником", - сказали исследователи безопасности Ден Юзвик, Тим Пек и Олег Колесников в отчете, опубликованном в Hacker News.
Считается, что злоумышленники используют динамическую поисковую рекламу Google (DSA), которая автоматически генерирует объявления на основе содержимого сайта для показа вредоносной рекламы, которая приводит жертв на зараженный сайт.
Конечная цель сложной многоступенчатой цепочки атак - побудить пользователей перейти на поддельный веб-сайт WinSCP, winccp[.]net, и загрузить вредоносное ПО.
"Трафик с веб-сайта gaweeweb [.] com на поддельный веб-сайт winsccp [.] net зависит от правильно установленного заголовка ссылки", - сказали исследователи. "Если ссылка указана неверно, пользователь "Rickrolled" и отправляется на печально известное видео Рика Эстли на YouTube".
Конечная полезная нагрузка принимает форму ZIP-файла ("WinSCP_v.6.1.zip"), который поставляется с исполняемым файлом программы установки, который при запуске использует стороннюю загрузку DLL для загрузки и выполнения DLL-файла с именем python311.dll оно присутствует в архиве.
Библиотека DLL, со своей стороны, загружает и запускает законный установщик WinSCP, чтобы поддерживать уловку, в то же время незаметно удаляя скрипты Python ("slv.py" и "wo15.py") в фоновом режиме, чтобы активировать вредоносное ПОВЕДЕНИЕ. Оно также отвечает за настройку сохраняемости.
Оба скрипта Python предназначены для установления контакта с удаленным сервером, управляемым исполнителем, для получения дальнейших инструкций, которые позволяют злоумышленникам запускать команды перечисления на хосте.
"Учитывая тот факт, что злоумышленники использовали рекламу Google для распространения вредоносного ПО, можно полагать, что цели ограничены теми, кто ищет программное обеспечение WinSCP", - сказали исследователи.
"Геоблокировка, используемая на сайте, на котором размещено вредоносное ПО, предполагает, что жертвами этой атаки стали пользователи в США".
Это не первый случай, когда динамическая поисковая реклама Google используется для распространения вредоносного ПО. В конце прошлого месяца Malwarebytes сняла крышку с кампании, нацеленной на пользователей, которые ищут PyCharm со ссылками на взломанный веб-сайт, на котором размещен вредоносный установщик, который прокладывает путь для развертывания вредоносного ПО, похищающего информацию.
За последние несколько лет популярность вредоносной рекламы среди киберпреступников возросла, и в последние месяцы в многочисленных вредоносных кампаниях эта тактика использовалась для атак.
Ранее на этой неделе Malwarebytes выявила всплеск кампаний по скиммингу кредитных карт в октябре 2023 года, которые, по оценкам, скомпрометировали сотни сайтов электронной коммерции с целью кражи финансовой информации путем внедрения убедительных поддельных платежных страниц.
