Недавно специалисты безопасности из Malwarebytes выявили вредоносную кампанию, нацеленную на китаеязычных пользователей, ставших жертвами злоумышленников благодаря рекламному сервису Google Ads, пишет Securitylab.
Киберпреступники использовали учётные записи рекламодателей Google для создания мошеннических объявлений, перенаправляющих пользователей на веб-страницы, с которых загружается троян удалённого доступа (RAT). Программа позволяет атакующим полностью контролировать компьютер жертвы и устанавливать любые дополнительные вредоносные приложения.
Кампания, получившая кодовое название FakeAPP, является продолжением атак, начатых в октябре 2023 года против пользователей в Гонконге, которые пытались скачать себе приложения для обмена сообщениями, такие как WhatsApp и Telegram.
В ходе атаки пользователей перенаправляют на поддельные сайты, размещённые на платформах Google Docs и Google Sites. Инфраструктура Google используется для внедрения ссылок на сайты, контролируемые злоумышленниками, для загрузки установщиков троянов, таких как PlugX и Gh0st RAT.
В новой версии кампании целевая аудитория расширена за счёт добавления новой приманки — ещё одного популярного мессенджера под названием LINE.
Malwarebytes проследила мошеннические объявления до двух аккаунтов рекламодателей: Interactive Communication Team Limited и Ringier Media Nigeria Limited, базирующихся в Нигерии. Отмечается, что киберзлодеи предпочитают количество качеству, постоянно обновляя как перечень вредоносных программ, так и расширяя свою инфраструктуру.
В целом, рекламный сервис Google Ads любят эксплуатировать злоумышленники по всему миру. Так, недавно мы писали о том, как спонсируемые объявления Google используются хакерами с целью распространения бесплатного программного обеспечения для Windows, в который намеренно внедряется вредоносный код.