28/05/24
.jpg?width=300&height=168&name=images%20(66).jpg)
Arc Browser — новый веб-обозреватель с инновационным пользовательским интерфейсом, который отличает его от традиционных интернет-браузеров. После успешного запуска в июле 2023 года для macOS и множества положительных отзывов от технических изданий и пользователей, выход версии для Windows вызвал всеобщий интерес к данному продукту, пишет Securitylab.
Согласно недавнему отчёту компании Malwarebytes, киберпреступники хорошо подготовились к запуску Arc для Windows, заранее разместив серию злонамеренных объявлений в Google Ads, чтобы привлечь пользователей, нацеленных на загрузку нового веб-браузера.
Секрет их успеха прост: всё дело в том, что рекламная платформа Google уже давно имеет значительную проблему, позволяющую злоумышленникам размещать объявления с отображением легитимных URL, что ранее использовалось для атак на Amazon, Whales Market, WebEx и YouTube. Одну из таких атак мы в подробностях описали в прошлом году.
Исследователи Malwarebytes обнаружили рекламные результаты по запросам «arc installer» и «arc browser windows», демонстрирующие официальный адрес браузера Arc. Однако после клика по рекламе пользователи не попадают на официальный сайт, а перенаправляются на вредоносные домены, визуально напоминающие реальный сайт Arc.
Когда пользователь прошёл череду перенаправлений, домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит законно, многие пользователи банально не поднимают глаза в адресную строку.
При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.
Этот троянский установщик использует API MEGA для совершения C2-операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.
В Malwarebytes также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.
Аналитики предполагают, что конечное вредоносное ПО во всех рассмотренных атаках является инфостилером, хотя это ещё не подтверждено окончательно. Поскольку настоящий браузер Arc, в конечном итоге, всё же устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.
Киберпреступники часто используют ажиотаж вокруг новых программ или игр для распространения вредоносного ПО. Чтобы избежать подобных атак, рекомендуется избегать любых рекламных результатов в поисковой выдаче как Google, так и в других поисковых системах. Использование проверенных блокировщиков рекламы позволит убить проблему на корню, так как банально скроет все рекламные ссылки в поисковой системе.
