Na uživatele, kteří hledají populární software, míří nová malwarová kampaň, která zneužívá Google Ads k poskytování trojanizovaných variant, které nasazují malware, jako je Raccoon Stealer a Vidar.

Tato aktivita využívá zdánlivě věrohodné webové stránky s překlepy v názvech domén, které se objevují nad výsledky vyhledávání Google ve formě škodlivých reklam tím, že zneužívají vyhledávání na konkrétní klíčová slova.

Konečným cílem takových útoků je přimět nic netušící uživatele ke stažení škodlivých programů nebo potenciálně nechtěných aplikací.

V jedné kampani zveřejněné Guardio Labs byli hackeři pozorováni, jak vytvářejí síť neškodných stránek, které jsou propagovány ve vyhledávači, na které po kliknutí přesměrují návštěvníky na phishingovou stránku obsahující trojanizovaný ZIP archiv hostovaný na Dropboxu nebo OneDrive.

„Ve chvíli, kdy tyto ‚skryté‘ stránky navštíví cílení návštěvníci (ti, kteří skutečně kliknou na propagovaný výsledek vyhledávání), server je okamžitě přesměruje na nepoctivou stránku a odtud na škodlivý kód,“ řekla výzkumnice Nati Tal.

Mezi zneužívaný software patří mimo jiné AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack a Zoom.

Guardio Labs, která kampaň nazvala MasquerAds, přisuzuje obrovský kus aktivity hrozbě, kterou sleduje pod jménem Vermux, s tím, že protivník „zneužívá obrovský seznam značek a neustále se vyvíjí“.

Operace Vermux si vybírala především uživatele v Kanadě a USA a zaměstnávala MasquerAds stránky přizpůsobené vyhledávání AnyDesk a MSI Afterburner, aby rozšířily software pro těžbu kryptoměn a stealer Vidar.

Tento vývoj znamená pokračující používání překlepových domén, které napodobují legitimní software, aby nalákali uživatele k instalaci podvodných aplikací pro Android a Windows.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS