Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Хакеры манипулируют выдачей Google и заражают пользователей через поддельный WinSCP

21/11/23

cover

Киберпреступники манипулируют результатами поисковой выдачи Google и размещают в ней поддельные рекламные объявления, обманывая пользователей, которые пытаются установить легитимный софт WinSCP. Это передаёт Securitylab.

Компания Securonix отслеживает эту хакерскую активность под названием «SEO#LURKER». По словам исследователей, вредоносная реклама перенаправляет пользователей на взломанный веб-сайт «gameeweb[.]com» на WordPress, который затем перенаправляет их на фишинговый сайт, контролируемый злоумышленниками.

Для создания рекламных редирект-объявлений, злоумышленники используют динамические поисковые объявления Google. Основная цель этой многоступенчатой атаки — привлечь пользователей на фальшивый сайт WinSCP с доменом «winccp[.]net» и убедить загрузить вредоносное ПО.

Примечательно, что успех перенаправления напрямую зависит от правильности заданного заголовка ссылки. Если же ссылка задана неверно, хакеры просто «рикроллят»  пользователя.

В случае успешного перенаправления, стоит отметить, что вредоносное ПО поставляется в виде ZIP-архива, содержащего исполняемый файл. При его запуске используется DLL Sideloading для выполнения вредоносной DLL-библиотеки, в то время как подлинный установщик WinSCP нужен для поддержания завесы обмана.

Дальнейшие вредоносные действия обеспечивают Python-скрипты, которые распаковываются и активируются в фоне. Эти скрипты предназначены для связи с удалённым сервером злоумышленников и получения дальнейших инструкций для выполнения команд на заражённом устройстве.

Исходя из использования Google Ads для распространения вредоносного ПО, предполагается, что целью кампании являются пользователи, которые целенаправленно ищут программное обеспечение WinSCP, однако нет никакой уверенности, что хакеры не применят подобный сценарий к любому другому популярному софту.

Так, в конце прошлого месяца мы уже сообщали вам о малвертайзинговой кампании, раскрытой исследователями из Malwarebytes, нацеленной на разработчиков, которые ищут PyCharm в поисковой строке Google. Разумеется, вместо желаемого софта, наивные жертвы скачивали на свой компьютер вредоносное ПО.

Темы:GoogleпоисковикиУгрозыSecuronixрекламные вредоносы
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...