Google Ads снова используется для распространения вредоносного ПО, на этот раз под прикрытием официального портала загрузки Cisco Webex.
Реклама программного обеспечения для видеоконференций выглядит вполне реальной, но лишь перенаправляет жертв на веб-сайты, содержащие вредоносное ПО BatLoader и DanaBot.
Охранная фирма Malwarebytes обнаружила, что кампания длилась неделю и, по всей видимости, была делом рук злоумышленников, базирующихся в Мексике. Вредоносное объявление заняло первое место в Google по поисковому запросу «Webex».
Плохой вебекс
Реклама настолько убедительна, потому что в качестве ссылки в ней используется настоящий логотип Webex и URL-адрес webex.com. Он использует эксплойт в шаблонах отслеживания, который позволяет злоумышленникам перенаправлять ссылки куда угодно.
Хотя Google требует, чтобы URL-адрес, отображаемый в объявлении, принадлежал тому же домену, что и конечный целевой URL-адрес, на который перенаправляется пользователь, шаблон отслеживания можно использовать для перенаправления пользователей на другой URL-адрес.
Злоумышленники в этой кампании использовали вредоносную ссылку «trixwe.page.link» в шаблоне отслеживания, а конечный URL-адрес был указан как «webex.com». Таким образом, пользователи, которые нажали, увидели последнее, но были перенаправлены на первое.
Кроме того, неработающая ссылка, похоже, блокирует посещения исследователей безопасности или сканеров. Пользователи, которые действительно хотят связаться с участниками, перенаправляются на другой веб-сайт, где проводятся дальнейшие проверки, чтобы еще раз убедиться, что они не являются исследователями, использующими среду «песочницы».
Наконец, пользователи, которые хотят их преследовать, перенаправляются на сайт «webexadvertisingoffer».[.]com», который доставляет вредоносное ПО, а те, которые отфильтрованы, перенаправляются на законный сайт Webex.
Поддельная страница предположительно содержит ссылки для загрузки Webex, при нажатии на которые инициируется установка BatLoader. Затем это приводит к запуску вредоносного ПО DanaBot, банковского трояна 2018 года, который может красть пароли, делать снимки экрана, загружать модули вымогателей, скрывать вредоносный трафик C2 и использовать HVNC для удаленного доступа.
При загрузке программного обеспечения всегда лучше игнорировать продвигаемые результаты поиска в Google и переходить непосредственно к надежному источнику, например к собственному веб-сайту провайдера. С тех пор Google сообщил BleepingComputer, что в этом случае «предпринял соответствующие меры в отношении связанных учетных записей».
БОЛЬШЕ ОТ ТЕХРАДАР ПРО
