Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Злоумышленники рекламируют поддельную Notepad++ в Google Ads

19/10/23

Компания Malwarebytes обнаружила мошенническую кампанию, в ходе которой злоумышленники используют рекламные объявления Google Ads для распространения вредоносных программ, заманивая пользователей на поддельные сайты с поддельным Notepad++.

Несмотря на то, что кампания действует уже несколько месяцев, она оставалась незамеченной. Конечная цель атаки пока неизвестна. Однако, по данным Malwarebytes, наиболее вероятной целью является установка инструмента постэксплуатации Cobalt Strike, пишет Securitylab.

В рамках кампании киберпреступники рекламируют URL-адреса, не имеющие отношения к оригинальной программе Notepad++. Мошеннические сайты используют схожие с программой названия в рекламных объявлениях Google, манипулируя механизмами SEO. Многие пользователи могут попасться «на крючок», так как названия объявлений более заметны, чем сами URL-адреса.

После перехода по рекламной ссылке происходит проверка IP пользователя. Если IP соответствует списку, который включает в себя ботов, VPN и прочее, пользователь направляется на безвредный сайт. Однако нужные жертвы переадресовываются на «notepadxtreme[.]com», имитирующий оригинальный сайт Notepad++.

i8tyzhrn480vb2apex103l6opxf713um

После того как посетитель нажимает на ссылку для скачивания, выполняется дополнительная проверка. Те, кто проходит ее, получают вредоносный HTA-скрипт с уникальным ID. Исследование этого скрипта не дало конкретных результатов, но аналогичный файл был найден в базе VirusTotal еще в июле. Файл пытается подключиться к удаленному домену через специальный порт, и исследователи предположили, что это является частью развертывания Cobalt Strike.

Для того чтобы избежать загрузки вредоносных программ, рекомендуется пропускать рекламные результаты в поиске Google и посещать только официальные сайты. Чтобы удостовериться в подлинности сайта, необходимо проверить страницу «О проекте», официальные документы, страницу в Википедии и официальные соцсети проекта.

Темы:GoogleУгрозыонлайн-рекламаMalwarebytesGoogle Ads
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...