Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Результаты поиска Google стали рассадником вредоносного ПО (http://txgate.io:443/showthread.php?t=10708)

Artifact 04-21-2025 04:30 PM

Злоумышленники используют Google Ads для распространения фишинговых сайтов.
https://www.securitylab.ru/upload/ib...ai8xpjecym.jpg
Исследователи кибербезопасности MalwareHunterTeam обнаружили , что группировка DEV-0569 использует Google Ads для распространения вредоносных программ, кражи паролей и атак программ-вымогателей.
В результатах поиска Google вредоносные сайты выдают себя за сайты популярных программ:<ul><li>LightShot;</li>
</ul><ul><li>Rufus;</li>
</ul><ul><li>7-Zip;</li>
</ul><ul><li>FileZilla;</li>
</ul><ul><li>LibreOffice;</li>
</ul><ul><li>AnyDesk;</li>
</ul><ul><li>Awesome Miner;</li>
</ul><ul><li>TradingView;</li>
</ul><ul><li>WinRAR;</li>
</ul><ul><li>VLC.</li>
</ul>Нажатие на рекламу приводит посетителя на сайт, который является копией настоящего сайта разработчика ПО. Однако, с этого сайта пользователь загружает не легитимное ПО, а MSI-файл, который устанавливает различные вредоносные программы в зависимости от кампании.
Список вредоносных программ на данный момент включает различные программы-вымогатели, а также:<ul><li>RedLine Stealer (используется для кражи учетных данных, cookie-файлов и криптовалюты);</li>
</ul><ul><li>Gozi/Ursnif (загрузчик для доставки других вредоносных программ);</li>
</ul><ul><li>Vidar;</li>
</ul><ul><li>Cobalt Strike;</li>
</ul><ul><li>Royal Ransomware.</li>
</ul>Исследователи полагают, что DEV-0569 — это брокер начального доступа, который использует свою систему распространения вредоносных программ для взлома корпоративных сетей. Они используют этот доступ в своих собственных атаках или продают его другим киберпреступникам, в том числе, группировке Royal.
Эксперты также получили доступ к веб-панели DEV-0569, используемой для отслеживания их кампании, и поделился снимками экрана в Twitter. На этих снимках экрана показаны поддельные программы и многочисленные жертвы по всему миру, которые увеличиваются ежедневно.
https://www.securitylab.ru/upload/me...v2i2v5xc0y.png
Скриншот панели управления DEV-0569
Хакеры очищают данные панели каждый день, но есть информация, которая может помочь посчитать примерное количество жертв – это корреляционный ID записей (это может быть оценочное значение количества жертв этой панели, в данном случае последнее значение на сегодня — 63576 жертв.
Несмотря на то, что Google удаляет рекламу по мере обнаружения, злоумышленники постоянно запускают новые рекламные кампании и новые сайты, заполоняя ими поисковые выдачи Google.


All times are GMT. The time now is 12:27 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.