Хакеры создают поддельные сайты для популярного бесплатного программного обеспечения с открытым исходным кодом, чтобы продвигать вредоносы через рекламу в результатах поиска Google.
По крайней мере один пользователь стал жертвой этой кампании. Юзер с ником NFT God утверждает, что хакеры смогли украсть все его цифровые криптоактивы, а также контроль над учётными записями. Это стало возможным после того, как пользователь запустил вредоносный исполняемый файл Open Broadcaster Software (OBS), программного обеспечения для записи видео и стриминга. Он перешёл по ссылке, которую выдала реклама Google в поисковике. Через несколько часов друзья сообщили, что его аккаунт в Twitter был взломан.
Вероятно, это было вредоносное ПО для кражи информации.
Затем пользователь обнаружил, что его учётная запись на торговой площадке OpenSea NFT также была скомпрометирована, и там был указан другой кошелёк.
После этого выяснилось, что Substack, Gmail, Discord, а также другие криптокошельки постигла та же участь.
Декабрьские отчеты компаний по кибербезопасности TrendMicro и Guardio показали, что хакеры злоупотребляют платформой Google Ads, чтобы продвигать вредоносные загрузки в результатах поиска. Злоумышленники регистрируют домены, похожие на официальные, и копируют основную часть легитимного сайта вплоть до раздела загрузки. Таким образом возникают копии сайтов для загрузки Rufus, Notepad++, 7-ZIP и WinRAR, CCleaner, а также широко используемого медиаплеера VLC. При этом официальные сайты оказываются в выдаче прямо под поддельными.
Херман Фернандес из компании по кибербезопасности CronUp предоставил список из 70 доменов, которые распространяют вредоносное ПО через результаты поиска Google Ads.
После публикации этой статьи исследователи из HP Wolf Security выпустили отчёт о подобных кампаниях, отметив, что первая датирована ноябрем 2022 года.
Некоторые из вредоносных программ включают троян IcedID, Vidar, Rhadamanthys Stealer и BatLoader.
BleepingComputer отправило эти данные Google, и представитель компании сказал, что политика платформы разработана и применяется для предотвращения выдачи сайтов-подделок. Google уже удалила подобные ссылки.
Пользователям рекомендовано использовать блокировщики рекламы и проверять URL-адреса источника загрузки.
