Хакеры снова используют Google Ads для распространения зловредного ПО FatalRAT

[Artifact]

Поддельные сайты не вызывают даже малейших подозрений у доверчивых жертв.
Китаеязычные жители Восточной и Юго-Восточной Азии стали мишенью новой мошеннической кампании Google Ads, которая доставляет на скомпрометированные устройства трояны удаленного доступа, такие как FatalRAT.
Согласно отчёту компании ESET, опубликованному сегодня , атаки включали в себя покупку рекламных мест для показа фишинговых сайтов в топе поисковой выдачи Google. Так пользователи, в попытках скачать популярные программы, скачивали на свой компьютер зловредный софт.
Вот лишь часть поддельных программ, вместо которых злоумышленники подсовывали вредонос: Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao и WPS Office.
Веб-сайты и загружаемые с них установщики были в основном на китайском языке. Что забавно, так как в некоторых перечисленных программах в принципе недоступна китайская локализация. В общем, злоумышленникам определённо было, чем заинтересовать своих жертв.
Рекламные атаки в основном задели жителей Тайваня, Китая и Гонконга. В меньшей степени досталось жителям Малайзии, Японии, Филиппин, Таиланда, Сингапура, Индонезии и Мьянмы.
FatalRAT, развёртываемый после инсталляции поддельных программ, предоставляет злоумышленнику полный контроль над компьютером-жертвы, включая выполнение произвольных команд командной строки, запуск файлов, сбор данных из веб-браузеров и захват нажатий клавиш.
«Злоумышленники приложили некоторые усилия в отношении доменных имен, используемых для их веб-сайтов, стараясь быть как можно более похожими на официальные. Поддельные веб-сайты в большинстве случаев являются внешне идентичными копиями легитимных сайтов», — заявили представители ESET.

ESET наблюдала подобные атаки в период с августа 2022 года по январь 2023 года. Разумеется, на момент публикации данной новости, китайскую вредоносную рекламу уже удалили.
Напомним, Google Ads далеко не впервые используется для фишинга и распространения поддельных программ. Только в январе мы писали про копии сайтов популярных программ для дома и офиса , а также про поддельный сайт менеджера паролей BitWarden .
Подобных мошеннических уловок можно легко избежать, используя блокировщики рекламы, убирающие проплаченные вредоносные сайты из топа поисковой выдачи. Однако обычной внимательности при проверке домена тоже достаточно. Ведь если не переходить на фишинговые сайты, то и вероятность скачать из Интернета вредоносный софт стремится к нулю.