Google wyświetla reklamy przy wynikach wyszukiwania, ale zanim klikniesz którąś z nich, zastanów się dwa razy.
Cyberprzestępcy wykorzystują sieć reklamową Google Ads do rozprowadzania szkodliwego oprogramowania. W efekcie nawet na stronie z wynikami wyszukiwarki Google – zdawałoby się najbezpieczniejszym miejscu w internecie – można wejść w pułapkę. Jeśli zabrniesz za daleko, ściągniesz sobie na komputer szkodliwy program, możesz stracić dane i pieniądze.
Dzięki analizie Elastic Labs wiemy, jak może wyglądać fałszywa reklama. Na pierwszy rzut oka niczym nie różni się od propozycji pobrania autentycznego programu. W pośpiechu można nie zauważyć, że nie kieruje do autentycznej strony dewelopera. W przytoczonym przykładzie z programem AnyDesk mamy adres https://www.amydecke[.]website zamiast https://www.anydesk[.]com. Tylko kto by pamiętał wszystkie adresy stron programów?
Strona, do której kieruje reklama, jest łudząco podobna do autentycznej strony pobierania programu AnyDesk. Osoba, która nie przeanalizowała adresu strony, raczej się nie zorientuje, że stoi na krawędzi przepaści.
Jak łatwo się domyślić, przycisk pobierania kieruje do instalatora z nieprzyjemną niespodzianką. Co ciekawe, sam plik MSI wydaje się „czysty” i antywirusy nie zgłaszają zagrożenia. Dla niepoznaki oczywiście zainstalowany zostanie pożądany program. W instalatorze jest jednak podejrzany skrypt, który ściąga jeszcze bardziej podejrzaną bibliotekę DLL.
Can confirm.
— Will Dormann (@wdormann) January 23, 2023
While VirusTotal gives the resulting MSI 0 detections, it is indeed sketchy, attempting to download a DLL from download-cdn[.]com, which would get executed with SYSTEM privileges.https://t.co/zg5e20IucZ pic.twitter.com/wPeUqKeQ8s
W kampanii udającej pobieranie AnyDesk specjaliści znaleźli malware LOBSHOT, który po raz pierwszy został dokładnie przeanalizowany. W ciągu ostatniego roku udało się zebrać ponad 500 próbek, zawsze były to 32-bitowe pliki bibliotek DLL o rozmiarze od 93 do 124 kB. Zagrożenie zostało oczywiście wyposażone w nowoczesny kamuflaż, ukrywa więc nazwy API systemu, których będzie potrzebował, nie daje się uruchomić w bezpiecznej „piaskownicy” Windows Defendera, wpisuje się do rejestru systemowego, by utrudnić usunięcie, a jego kod przypomina spaghetti.
Celem istnienia zagrożenia LOBSHOT jest wysysanie informacji o portfelach kryptowalut, a docelowo okradanie użytkowników. Malware jest zdolny do wysysania danych z ponad 50 portfeli kryptowalut, instalowanych jako rozszerzenia w przeglądarkach Google Chrome, Microsoft Edge i Mozilla Firefox. Ponadto dzięki modułowi hVNC (hidden Virtual Network Computing) pozwala na zdalny dostęp do zainfekowanego komputera bez zwracania na siebie uwagi.
AnyDesk nie jest tu odosobniony. W podobnych kampaniach pojawiły się inne popularne programy. Analityk Will Dorman na Twitterze pokazuje analogiczne kampanie z wykorzystaniem wizerunku programów WinRAR, Notepad++, OBS, LibreOffice, Thunderbird, DOSBox i wiele innych. LOBSHOT też nie jest jedynym szkodliwym programem, który można w ten sposób „złapać”.
Źródło zdjęć: mama_mia / Shutterstock, Etastic.co
Źródło tekstu: Elastic.co
