Малвертайзинг в массы: хакеры манипулируют выдачей Google и заражают наивных пользователей вредоносным ПО

[Artifact]

Исследователи Securonix раскрыли вредоносную кампанию, реализованную через поддельный WinSCP.
Киберпреступники манипулируют результатами поисковой выдачи Google и размещают в ней поддельные рекламные объявления, обманывая пользователей, которые пытаются установить легитимный софт WinSCP.
Компания Securonix отслеживает эту хакерскую активность под названием «SEO#LURKER». По словам исследователей, вредоносная реклама перенаправляет пользователей на взломанный веб-сайт «gameeweb[.]com» на WordPress, который затем перенаправляет их на фишинговый сайт, контролируемый злоумышленниками.
Для создания рекламных редирект-объявлений, злоумышленники используют динамические поисковые объявления Google. Основная цель этой многоступенчатой атаки — привлечь пользователей на фальшивый сайт WinSCP с доменом «winccp[.]net» и убедить загрузить вредоносное ПО.
Примечательно, что успех перенаправления напрямую зависит от правильности заданного заголовка ссылки. Если же ссылка задана неверно, хакеры просто «рикроллят» ничего не подозревающего пользователя.
Возвращаясь к сценарию успешного редиректа, стоит отметить, что вредоносное ПО поставляется в виде ZIP-архива, содержащего исполняемый файл. При его запуске используется DLL Sideloading для выполнения вредоносной DLL-библиотеки, в то время как подлинный установщик WinSCP нужен для поддержания завесы обмана.
Дальнейшие вредоносные действия обеспечивают Python-скрипты, которые распаковываются и активируются в фоне. Эти скрипты предназначены для связи с удалённым сервером злоумышленников и получения дальнейших инструкций для выполнения команд на заражённом устройстве.
Исходя из использования Google Ads для распространения вредоносного ПО, предполагается, что целью кампании являются пользователи, которые целенаправленно ищут программное обеспечение WinSCP, однако нет никакой уверенности, что хакеры не применят подобный сценарий к любому другому популярному софту.
Так, в конце прошлого месяца мы уже сообщали вам о малвертайзинговой кампании, раскрытой исследователями из Malwarebytes, нацеленной на разработчиков, которые ищут PyCharm в поисковой строке Google. Разумеется, вместо желаемого софта, наивные жертвы скачивали на свой компьютер вредоносное ПО.
В последнее время малвертайзинг становится всё более популярным среди киберпреступников, со множеством весьма похожих друг на друга вредоносных кампаний.