Исследователи компании Malwarebytes рассказали о кампании с вредоносной рекламой в Google-поиске, которая нацелена на пользователей, желающих загрузить популярный текстовый редактор Notepad++. Эту кампанию не замечали несколько месяцев.
Исследователи не смогли выяснить, какая полезная нагрузка распространяется в рамках кампании, но, скорее всего, это Cobalt Strike, которое позволяет развёртывать программы-вымогатели.
Кампания по вредоносной рекламе Notepad++ продвигает URL-адреса, которые явно не связаны с программным проектом, но используют вводящие в заблуждение заголовки, отображаемые в рекламных объявлениях в результатах поиска Google.
Как только жертвы нажимают на любое из объявлений, их IP-адрес проверяют, чтобы отфильтровать сканеров, VPN, ботов и т. д., а затем перенаправляют на сайт-ловушку, где нет ничего вредоносного.
«notepadxtreme[.]com» имитирует настоящий сайт Notepad++ и содержит ссылки для загрузки различных версий текстового редактора.
Когда посетители нажимают на эти ссылки, с помощью фрагмента JavaScript выполняется вторая проверка системных отпечатков, чтобы убедиться в наличии аномалий или признаков того, что посетитель использует песочницу.
Жертвам, отмеченным как подходящие цели, затем предоставляется сценарий HTA, которому присваивается уникальный идентификатор, который, вероятно, позволит злоумышленникам отслеживать заражения. Эта полезная нагрузка передается только один раз на каждую жертву, поэтому второе посещение приводит к ошибке 404.
Исследование HTA, проведенное Malwarebytes, не дало никакой полезной информации, но аналитики обнаружили аналогичный файл в загрузке VirusTotal в июле. Этот файл пытался подключиться к удалённому домену через настраиваемый порт, причём исследователи полагают, что это, вероятно, было частью развёртывания Cobalt Strike.
Чтобы избежать загрузки вредоносного ПО при поиске конкретных программных инструментов, эксперты советуют пропускать рекламируемые результаты в поиске Google и переходить только на официальный домен. Проверить страницу можно в разделе «О программе».
Ранее сообщалось, что хакеры создают поддельные сайты для популярного бесплатного программного обеспечения с открытым исходным кодом, чтобы продвигать вредоносы через рекламу в результатах поиска Google. Таким образом возникают копии сайтов для загрузки Rufus, Notepad++, 7-ZIP и WinRAR, CCleaner, а также медиаплеера VLC.
