Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Злоумышленники используют Google Ads для распространения фишинговых сайтов

27/01/23

hack14-Jan-27-2023-08-58-48-5877-AM

Исследователи кибербезопасности MalwareHunterTeam обнаружили, что группировка DEV-0569 использует Google Ads для распространения вредоносных программ, кражи паролей и атак программ-вымогателей.

В результатах поиска Google вредоносные сайты выдают себя за сайты популярных программ:

  • LightShot;
  • Rufus;
  • 7-Zip;
  • FileZilla;
  • LibreOffice;
  • AnyDesk;
  • Awesome Miner;
  • TradingView;
  • WinRAR;
  • VLC.

Нажатие на рекламу приводит посетителя на сайт, который является копией настоящего сайта разработчика ПО, передает Securitylab. Однако, с этого сайта пользователь загружает не легитимное ПО, а MSI-файл, который устанавливает различные вредоносные программы в зависимости от кампании.

Список вредоносных программ на данный момент включает различные программы-вымогатели, а также:

  • RedLine Stealer (используется для кражи учетных данных, cookie-файлов и криптовалюты);
  • Gozi/Ursnif (загрузчик для доставки других вредоносных программ);
  • Vidar;
  • Cobalt Strike;
  • Royal Ransomware.

Исследователи полагают, что DEV-0569 — это брокер начального доступа, который использует свою систему распространения вредоносных программ для взлома корпоративных сетей. Они используют этот доступ в своих собственных атаках или продают его другим киберпреступникам, в том числе, группировке Royal.

Эксперты также получили доступ к веб-панели DEV-0569, используемой для отслеживания их кампании, и поделился снимками экрана в Twitter. На этих снимках экрана показаны поддельные программы и многочисленные жертвы по всему миру, которые увеличиваются ежедневно.

Хакеры очищают данные панели каждый день, но есть информация, которая может помочь посчитать примерное количество жертв – это корреляционный ID записей (это может быть оценочное значение количества жертв этой панели, в данном случае последнее значение на сегодня — 63576 жертв.

Несмотря на то, что Google удаляет рекламу по мере обнаружения, злоумышленники постоянно запускают новые рекламные кампании и новые сайты, заполоняя ими поисковые выдачи Google.

Темы:Угрозыонлайн-рекламафишингMalwareHunterTeam
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...