Специалисты Malwarebytes обнаружили в Google новую кампанию по распространению вредоносной рекламы. Кампания была нацелена на пользователей, желающих загрузить текстовый редактор Notepad++, и оставалась незамеченной несколько месяцев.

Исследователям не удалось получить итоговую полезную нагрузку, но в Malwarebytes считают, что это был Cobalt Strike, который предшествовал развертыванию вымогательского ПО.

Схема атаки

В рекламе злоумышленники продвигали URL-адреса, которые явно не были связаны с Notepad++, но использовали вводящие в заблуждение заголовки в своих объявлениях. Так как заголовки намного крупнее и более заметны, чем URL-адреса, многие люди, скорее всего, не замечали подвоха.

Вредоносные рекламные объявления

Если жертва кликала по любому из объявлений мошенников, срабатывал редирект, который проверял IP-адрес жертвы, чтобы отфильтровать краулеры, VPN, ботов и так далее, которых в итоге перенаправляли на специальный сайт-ловушку, не содержащий ничего вредоносного.

Безвредный сайт-ловушка

Людей же перенаправляли на сайт notepadxtreme[.]com, который имитировал настоящий сайт Notepad++ и якобы содержал ссылки для загрузки различных версий текстового редактора.

Фальшивый сайт Notepad++

В случае перехода по этим ссылкам выполнялась вторая проверка жертвы с помощью JavaScript-сниппета, чтобы убедиться в отсутствии аномалий и признаков того, что посетитель использует песочницу.

Для подходящих под все критерии жертв использовался HTA-скрипт, который присваивал пользователю уникальный ID, посредством которого злоумышленники могли отслеживать заражение. Эта полезная нагрузка передавалась жертве только один раз, а повторная попытка приводила лишь к ошибке 404.

Анализ этого скрипта HTA, к сожалению, не дал исследователям ничего, так как на момент изучения он был неактивен, однако аналитики обнаружили тот же файл на VirusTotal, куда его загрузили в июле 2023 года.

Этот файл пытался подключиться к удаленному домену через специальный порт, и исследователи полагают, что в итоге все это вело к развертыванию Cobalt Strike в системе пользователя.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии