MKD-CIRT National Centre for Computer Incident Response
Актер за закана го злоупотребува Google Ads за да дистрибуира тројанизирана верзија на алатката CPU-Z за да го испорача малициозен софтвер за крадење информации Redline.
Новата кампања беше забележана од аналитичарите на Malwarebytes кои, врз основа на придружната инфраструктура, оценија дека е дел од истата операција што користеше погрешно рекламирање на Notepad++ за доставување злонамерни товари.
Детали за кампањата
Злонамерната реклама на Google за тројанизираниот CPU-Z, алатка која го профилира компјутерскиот хардвер на Windows, е сместена на клонирана копија на легитимната страница за вести на Windows WindowsReport.
CPU-Z е популарна бесплатна алатка која може да им помогне на корисниците да следат различни хардверски компоненти, од брзини на вентилаторот, до стапки на часовникот на процесорот, напон и детали за кешот.
Злонамерната реклама на Google (Malwarebytes)
Со кликнување на рекламата, жртвата поминува низ чекор за пренасочување што ги мами роботите на Google против злоупотреба со испраќање невалидни посетители на неопасна локација.
Оние кои се сметаат за валидни за да го примат товарот се пренасочуваат на веб-локација за вести на Windows слична на хостирана на еден од следниве домени:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]онлајн
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]онлајн
- wireshark-app[.]онлајн
- cilrix-corporate[.]онлајн
- работен простор-апликација[.]онлајн
Чекори за пренасочување (Malwarebytes)
Причината за користење на клон на легитимна локација е да се додаде уште еден слој на доверба во процесот на инфекција, бидејќи корисниците се запознаени со технолошките вести сајтови кои хостираат линкови за преземање корисни комунални услуги.
Споредба помеѓу вистинската и лажната страница (Malwarebytes)
Со кликнување на копчето „Преземи сега“ се добива дигитално потпишан инсталатер на CPU-Z (датотека MSI) што содржи злонамерна скрипта PowerShell идентификувана како вчитувач на малициозен софтвер „FakeBat“.
Дигитално потпишана датотека за инсталирање (Malwarebytes)
Потпишувањето на датотеката со валиден сертификат го прави малку веројатно дека безбедносните алатки на Windows или антивирусни производи од трети страни што работат на уредот ќе служат како предупредување за корисникот.
Натоварувачот презема товар на Redline Stealer од далечински URL и го стартува на компјутерот на жртвата.
PowerShell го презема конечниот товар на домаќинот (Malwarebytes)
Redline е моќен крадец кој може да собира лозинки, колачиња и податоци за прелистување од низа веб-прелистувачи и апликации, како и чувствителни податоци од паричници за криптовалути.
За да се минимизираат шансите за инфекции со малициозен софтвер кога бараат специфични софтверски алатки, корисниците треба да обрнат внимание при кликнување на промовираните резултати во Пребарување на Google и да проверат дали вчитаната страница и доменот се совпаѓаат или да користат блокатор на реклами што ги крие автоматски.