Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Злоумышленники рекламируют поддельную Notepad++ в Google Ads

19/10/23

Компания Malwarebytes обнаружила мошенническую кампанию, в ходе которой злоумышленники используют рекламные объявления Google Ads для распространения вредоносных программ, заманивая пользователей на поддельные сайты с поддельным Notepad++.

Несмотря на то, что кампания действует уже несколько месяцев, она оставалась незамеченной. Конечная цель атаки пока неизвестна. Однако, по данным Malwarebytes, наиболее вероятной целью является установка инструмента постэксплуатации Cobalt Strike, пишет Securitylab.

В рамках кампании киберпреступники рекламируют URL-адреса, не имеющие отношения к оригинальной программе Notepad++. Мошеннические сайты используют схожие с программой названия в рекламных объявлениях Google, манипулируя механизмами SEO. Многие пользователи могут попасться «на крючок», так как названия объявлений более заметны, чем сами URL-адреса.

После перехода по рекламной ссылке происходит проверка IP пользователя. Если IP соответствует списку, который включает в себя ботов, VPN и прочее, пользователь направляется на безвредный сайт. Однако нужные жертвы переадресовываются на «notepadxtreme[.]com», имитирующий оригинальный сайт Notepad++.

i8tyzhrn480vb2apex103l6opxf713um

После того как посетитель нажимает на ссылку для скачивания, выполняется дополнительная проверка. Те, кто проходит ее, получают вредоносный HTA-скрипт с уникальным ID. Исследование этого скрипта не дало конкретных результатов, но аналогичный файл был найден в базе VirusTotal еще в июле. Файл пытается подключиться к удаленному домену через специальный порт, и исследователи предположили, что это является частью развертывания Cobalt Strike.

Для того чтобы избежать загрузки вредоносных программ, рекомендуется пропускать рекламные результаты в поиске Google и посещать только официальные сайты. Чтобы удостовериться в подлинности сайта, необходимо проверить страницу «О проекте», официальные документы, страницу в Википедии и официальные соцсети проекта.

Темы:GoogleУгрозыонлайн-рекламаMalwarebytesGoogle Ads
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...