Μια νέα καμπάνια με κακόβουλες διαφημίσεις Google, που συνέπεσε με την κυκλοφορία του Arc browser για Windows, εξαπατά τους ανθρώπους να κατεβάσουν προγράμματα εγκατάστασης που τους μολύνουν με ωφέλιμα φορτία κακόβουλου λογισμικού.
Δείτε επίσης: Προληπτική ανίχνευση και αντιμετώπιση κακόβουλου λογισμικού
Το Arc browser είναι ένα νέο πρόγραμμα περιήγησης ιστού, που διαθέτει έναν καινοτόμο σχεδιασμό διεπαφής χρήστη που το ξεχωρίζει από τα παραδοσιακά προγράμματα περιήγησης. Κυκλοφόρησε τον Ιούλιο του 2023 για το macOS και αφού εξαιρετικές λαμπερές κριτικές από τεχνολογικές εκδόσεις και χρήστες, η πρόσφατη κυκλοφορία του στα Windows αναμενόταν με ενθουσιασμό.
Οι κυβερνοεγκληματίες στοχεύουν το Arc browser με κακόβουλες διαφημίσεις Google
Σύμφωνα με μια αναφορά της Malwarebytes, κυβερνοεγκληματίες προετοιμάστηκαν για την κυκλοφορία του προϊόντος, δημιουργώντας κακόβουλες διαφημίσεις στην Αναζήτηση Google για να δελεάσουν τους χρήστες που θέλουν να κατεβάσουν το νέο πρόγραμμα περιήγησης ιστού.
Η πλατφόρμα διαφημίσεων της Google έχει ένα σημαντικό πρόβλημα που επιτρέπει στους παράγοντες απειλών να αφαιρούν διαφημίσεις που εμφανίζουν νόμιμες διευθύνσεις URL, οι οποίες έχουν γίνει κατάχρηση για να στοχεύσουν το Amazon, το Whales Market, το WebEx και την πλατφόρμα βίντεο της Google, το YouTube.
Η Malwarebytes βρήκε προωθημένα αποτελέσματα για τους όρους αναζήτησης “arc installer” και “arc browser windows” που εμφανίζουν τη σωστή διεύθυνση URL για το Arc. Ωστόσο, αφού κάνουν κλικ στη διαφήμιση, οι χρήστες ανακατευθύνονται σε τομείς με τυπογραφικά λάθη που μοιάζουν οπτικά με τον αυθεντικό ιστότοπο.
Εάν κάνετε κλικ στο κουμπί “Λήψη“, ανακτάται ένα trojanized αρχείο εγκατάστασης από την πλατφόρμα φιλοξενίας MEGA, η οποία κατεβάζει ένα επιπλέον κακόβουλο ωφέλιμο φορτίο με το όνομα “bootstrap.exe” από έναν εξωτερικό πόρο. Το API του MEGA γίνεται κατάχρηση για λειτουργίες διοίκησης και ελέγχου (C2), αποστολή και λήψη επιχειρησιακών οδηγιών και δεδομένων. Το αρχείο εγκατάστασης ανακτά ένα αρχείο PNG που περιέχει κακόβουλο κώδικα που μεταγλωττίζει και απορρίπτει το τελικό ωφέλιμο φορτίο, «JRWeb.exe», στο δίσκο του θύματος.
Δείτε ακόμα: Hackers FIN7: Κακόβουλες διαφημίσεις για διανομή του NetSupport RAT
Η Malwarebytes παρατήρησε επίσης μια ξεχωριστή αλυσίδα μόλυνσης που περιλαμβάνει το πρόγραμμα εγκατάστασης που χρησιμοποιεί ένα εκτελέσιμο Python για να εισάγει κώδικα στο msbuild.exe, το οποίο ρωτά έναν εξωτερικό ιστότοπο για να ανακτήσει εντολές για εκτέλεση.
Οι αναλυτές προτείνουν ότι το τελικό ωφέλιμο φορτίο σε αυτές τις επιθέσεις είναι ένας κλέφτης πληροφοριών, αν και αυτό δεν έχει ακόμη καθοριστεί.
Λόγω της εγκατάστασης του Arc browser στον υπολογιστή του θύματος και των κακόβουλων αρχείων που εκτελούνται κρυφά στο παρασκήνιο, είναι απίθανο το θύμα να συνειδητοποιήσει ότι έχει πλέον μολυνθεί από κακόβουλο λογισμικό.
Οι φορείς απειλών που εκμεταλλεύονται τη διαφημιστική εκστρατεία γύρω από την κυκλοφορία νέων λογισμικού/παιχνιδιών δεν είναι κάτι νέο, αλλά εξακολουθεί να είναι μια αποτελεσματική μέθοδος για τη διανομή κακόβουλου λογισμικού.
Οι χρήστες που επιθυμούν να κατεβάσουν λογισμικό θα πρέπει να παραλείψουν όλα τα προωθούμενα αποτελέσματα στην Αναζήτηση Google, να χρησιμοποιήσουν προγράμματα αποκλεισμού διαφημίσεων που αποκρύπτουν αυτά τα αποτελέσματα και να προσθέσουν σελιδοδείκτες σε επίσημους ιστότοπους έργων για μελλοντική χρήση. Επιπλέον, να ελέγχουν πάντα την αυθεντικότητα των τομέων από τους οποίους πρόκειται να πραγματοποιήσουν λήψη προγραμμάτων εγκατάστασης και να σαρώνουν πάντα τα ληφθέντα αρχεία σε ένα ενημερωμένο εργαλείο AV προτού τα εκτελέσουν.
Δείτε επίσης: Google ad υποδύεται το Whales Market και προωθεί malware
Τι είναι το malvertising;
Το malvertising, ή κακόβουλες διαφημίσεις, είναι μια μορφή διαδικτυακής απειλής όπου οι επιτιθέμενοι χρησιμοποιούν διαφημίσεις για να διανείμουν κακόβουλο λογισμικό, όπως στην περίπτωση του Arc browser. Αυτές οι διαφημίσεις μπορεί να εμφανίζονται σε νόμιμους ιστότοπους, δημιουργώντας μια ψευδαίσθηση ασφάλειας για τους χρήστες. Οι κακόβουλες διαφημίσεις μπορεί να περιέχουν κώδικα που εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης ή σε πρόσθετα, όπως το Flash ή το Java. Όταν ένας χρήστης κάνει κλικ σε μια τέτοια διαφήμιση, μπορεί να μεταφερθεί σε έναν ιστότοπο που φιλοξενεί κακόβουλο λογισμικό ή να κατεβάσει αυτόματα κακόβουλο λογισμικό στον υπολογιστή του. Το malvertising μπορεί να επηρεάσει οποιονδήποτε ιστότοπο που φιλοξενεί διαφημίσεις, ακόμη και τους πιο δημοφιλείς και αξιόπιστους.
Πηγή: bleepingcomputer
