Под видом Google Authenticator распространяется инфостилер DeerStealer

Компания Google стала жертвой собственной рекламной платформы, пишут исследователи Malwarebytes. Дело в том, что злоумышленники создают объявления с рекламой фальшивого приложения Google Authenticator, под видом которого распространяют малварь DeerStealer.

Эксперты рассказывают, что злоумышленникам по-прежнему удается размещать рекламу в поисковой выдаче Google, при этом объявления якобы связаны с легитимными доменами, что создает ложное ощущение доверия у пользователей. Так, в новой вредоносной кампании злоумышленники создают объявления, которые рекламируют Google Authenticator, когда пользователи ищут это ПО в  Google.

Убедительнее всего выглядит вредоносная реклама, где в качестве URL-адреса указывается google.com и https://www.google.com, чего явно не должно происходить, если рекламу создает сторонняя организация.

При клике на фальшивое объявление посетитель проходит через серию перенаправлений, а в итоге попадает на целевую страницу chromeweb-authenticators.com, которая выдает себя за подлинный портал Google.

Исследователи компании ANY.RUN, специализирующиеся на анализе вредоносного ПО, тоже следили за этой кампанией и поделились дополнительными данными о лендингах хакеров. По словам аналитиков, злоумышленники использовали домены с похожими названиями, например authenticcator-descktop[.]com, chromstore-authentificator[.]com и authentificator-gogle[.]com.

При нажатии на кнопку Download Authenticator происходит загрузка подписанного исполняемого файла с именем Authenticator.exe (VirusTotal), размещенного на GitHub. Репозиторий, где размещается малварь, называется authgg, а его владельцем выступает authe-gogle.

Образец малвари, загруженный Malwarebytes, оказался подписан компанией Songyuan Meiying Electronic Products Co., Ltd. за день до загрузки, а специалисты ANY.RUN получили полезную нагрузку, подписанную Reedcode Ltd.

Действительная подпись обеспечивает файлу доверие в Windows, позволяет обойти защитные решения и запуститься на устройстве жертвы без предупреждений.

В итоге в системе пользователя разворачивается малварь DeerStealer, ворующая учетные данные, файлы cookie и другую информацию, хранящуюся в браузере.

Исследователи отмечают, что уже сталкивались с этой эффективной стратегией по маскировке URL-адресов в других вредоносных кампаниях, в том числе связанных с KeePass, браузером Arc, YouTube и Amazon. Тем не менее, в Google продолжают «не замечать» такие проблемы.

В Malwarebytes пишут, что при этом Google проверяет личность рекламодателя, что демонстрирует еще одно слабое место в рекламной платформе ИТ-гиганта.

Издание Bleeping Computer сообщило, что в настоящее время Google уже заблокировала фейкового рекламодателя, о котором сообщила Malwarebytes.

Когда журналисты поинтересовались у представителей компании, каким образом злоумышленники продолжают размещать вредоносную рекламу и выдают себя за легитимные компании, в Google ответили, что злоумышленники уклоняются от обнаружения, создавая тысячи аккаунтов, используя манипуляции с текстом и маскировку, чтобы показывать рецензентам и автоматическим системам проверки совсем не те сайты, которые в итоге видят обычные пользователи.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Правилах сервиса
Анализ
×
Google
Сфера деятельности:Образование и наука
222
Amazon.com, Inc.
Сфера деятельности:Розничная торговля
131
YouTube
Производитель:Google
115
Google Authenticator
Производитель:Google
5