Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы. На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.

Новые мошеннические объявления были обнаружены специалистами Malwarebytes, которые считают, что эта активность является частью замеченной ранее вредоносной кампании. Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.

На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport.

Вредоносная реклама

Нажав на такую рекламу, жертва проходила через ряд редиректов, которые обманывали защитные сканеры Google и отфильтровать краулеры, VPN, ботов и так далее, перенаправляя их на специальный сайт-ловушку, не содержащий ничего вредоносного.

Перенаправления

Пользователи же попадали на фальшивый новостной сайт, размещенный на одном из следующих доменов:

  • argenferia[.]com;
  • realvnc[.]pro;
  • corporatecomf[.]online;
  • cilrix-corp[.]pro;
  • thecoopmodel[.]com;
  • winscp-apps[.]online;
  • wireshark-app[.]online;
  • cilrix-corporate[.]online;
  • workspace-app[.]online.

Очевидно, создавая клон реального новостного сайта, злоумышленники стремились вызвать у пользователей больше доверия, поскольку многие знакомы с сайтами, на которых помимо технических новостей размещаются и ссылки для загрузки полезных утилит.

Фальшивка и настоящий сайт

Загрузка установщика CPU-Z с ресурса злоумышленников приводила к скачиванию файла MSI, содержащего вредоносный PowerShell-скрипт, в котором исследователи опознали загрузчика вредоносного ПО FakeBat (он же EugenLoader).

Этот загрузчик извлекал полезную нагрузку Redline  с удаленного URL-адреса и запускал ее на компьютере жертвы.

Напомним, что Redline представляет собой мощный инструмент для кражи данных, способный воровать пароли, файлы cookie и историю из различных браузеров и приложений, а также конфиденциальные данные криптовалютных кошельков.

Как сообщили СМИ представители Google, в настоящее время все вредоносные объявления, связанные с этой кампанией, уже удалены, а в отношении связанных с ними аккаунтов «приняты соответствующие меры».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии