Использование рекламы Google для размещения своих вредоносных веб-сайтов в верхней части страницы результатов — это трюк, который киберпреступники используют слишком часто. Последний пример — фейк. Домашнее пиво Веб-сайт, который использует информационную программу для кражи личной информации, истории просмотров, данных для входа и банковских реквизитов у ничего не подозревающих жертв.
Обнаружено Райан Ченки на X и сообщил ПипКомпьютерВредоносное объявление Google даже отображает правильный URL-адрес Homebrew «brew.sh», поэтому нет реального способа обнаружить подделку перед нажатием.
⚠️ Разработчики, будьте осторожны при установке Homebrew.
Google предоставляет рекламные ссылки на клон сайта Homebrew, содержащий вредоносную команду cURL. URL-адрес этого сайта отличается от URL-адреса официального сайта на одну букву. pic.twitter.com/TTpWRfqGWo
— Райан Ченки (@ryanchenkie) 18 января 2025 г.
Если вы нажмете на нее, реклама перенаправит вас на клон веб-сайта, размещенного по адресу Brewe.sh, с отображением неправильного URL-адреса. Согласно ответу Логана Килпатрика из Google на сообщение X, с тех пор реклама была удалена, поэтому не стоит беспокоиться, если вы это читаете. Однако Ченки и многие из его комментаторов были удивлены и сбиты с толку тем, что в объявлении отображался правильный URL-адрес, даже если он не соответствовал месту назначения ссылки.
Похоже, что эта стратегия называется «клоакинг URL», и Google сообщил об этом. ПипКомпьютер что это происходит потому, что «злоумышленники уклоняются от обнаружения, создавая тысячи учетных записей одновременно и используя манипуляции с текстом и маскировку, чтобы показать аудиторам и автоматизированным системам разные веб-сайты, которые увидит обычный посетитель».
Очевидно, что для того, чтобы обманом заставить Google сделать это, было потрачено много усилий, а это означает, что Google может быть сложно решить проблему. В настоящее время компания «увеличивает масштаб своих автоматизированных систем и людей-аудиторов» для борьбы с этой проблемой, что, безусловно, звучит дорого.
Вполне возможно, что этот метод сокрытия URL-адресов значительно облегчает киберпреступникам атаку на такие сайты, как Homebrew. Поскольку это система управления программными пакетами для macOS и Linux, ее целевая аудитория почти наверняка более осведомлена, чем средний онлайн-покупатель, и, вероятно, не поддастся рекламе, в которой явно отображается ложный URL-адрес.
Информационный похититель, использованный в этой кампании, был идентифицирован исследователем безопасности. ДЖЕЙМСВТ называется AmosStealer (также известный как Atomic) и был разработан специально для систем macOS. Вредоносное ПО, разработанное с использованием Swift, может работать на устройствах Intel и Apple Silicon и продается киберпреступникам по подписке стоимостью 1000 долларов в месяц.
Если вас беспокоят подобные кампании по распространению вредоносного ПО, есть несколько вещей, которые вы можете сделать, чтобы оставаться в безопасности. Во-первых, помимо проверки отображаемого URL-адреса объявления перед его нажатием рекомендуется также проверить URL-адрес страницы после ее загрузки. Помните, что только один персонаж должен отличаться. Поэтому убедитесь, что вы делаете больше, чем просто смотрите.
Еще один способ предотвратить распространение вредоносного ПО в рекламе Google — перестать нажимать на рекламу Google. Когда вы ищете определенный веб-сайт, результаты ниже всегда будут показывать обычную версию. Так что просто пропустите рекламу и избежите каких-либо проблем. В противном случае, когда вы увидите интересующее вас объявление, найдите название рекламируемой компании или продукта, а не нажимайте непосредственно на объявление.
Наконец, если для вас это всего лишь одно из многих неудобств, связанных с Google, вы всегда можете подумать о том, чтобы отодвинуть Google на обочину. Поисковые системы, ориентированные на повышенную конфиденциальность, такие как DuckDuckGo или Qwant в Европе, являются жизнеспособной альтернативой, если вы хотите попробовать что-то новое.
