Новая кампания продвигает зараженные версии программы PyCharm через поисковик Google
02/11/23
Злоумышленники внедрили вредоносный код в сайт анонимной фирмы по планированию свадеб. Этот код автоматически создавал объявление в Google Ads для продвижения PyCharm — популярного инструмента для Python-разработчиков. Когда пользователи искали программу через Google, система показывала им поддельное объявление, ведущее на зараженную страницу.
Версия PyCharm, размещенная на сайте, на самом деле устанавливала более десяти разных видов вредоносного ПО на компьютер жертвы после скачивания. Владелец взломанного сайта стал невольным пособником преступников, оплачивая из своего бюджета показы мошеннической рекламы.
По словам экспертов, все дело в особенностях работы Google Ads. Когда пользователь вводит в поисковой строке ключевые слова, совпадающие с содержанием какого-либо интернет-ресурса, от имени этого ресурса автоматически генерируется контекстное объявление. Так злоумышленники и выдают вредоносные ссылки за полезный контент с проверенных платформ.
Совсем недавно компания Akamai выпустила подробный отчет о похожих атаках, направленных на клиентов отелей и гостиниц по всему миру, пишет Securitylab. В этом случае злоумышленники используют поисковую оптимизацию (SEO), чтобы поддельные сайты высоко ранжировались в результатах поиска. Аналогичным образом эксплуатируется и контекстная реклама.
По данным Akamai, угроза носит глобальный характер. При анализе трафика DNS активность хакеров зафиксировали в таких странах как Швейцария, Гонконг и Канада. Очевидно, что злоумышленники не ограничиваются одним конкретным регионом.
Изначально исследователи предполагали, что кампания была запущена в сентябре 2023 года, но позже выяснилось: доменные имена, используемые для распространения вредоносного ПО, регистрировались и запрашивались злоумышленниками еще в июне. Получается, подготовка к атаке велась как минимум три месяца.