Na wciąż bardzo nietypowy atak w wyszukiwarce Google natrafili badacze firmy Securonix. Napastnicy wykorzystali fałszywe reklamy, ale w sposób zdecydowanie bardziej zaawansowany niż dotychczas.
Fałszywe reklamy w Google, prowadzące do stron phishingowych, to problem powszechnie znany. Tylko, przeważnie też dość łatwy do wykrycia, bo bezpośrednie podszywanie się pod znane marki jest nadużyciem oczywistym. Dlatego w tym przypadku przestępcy postąpili inaczej. Znacznie sprytniej.
Najpierw stworzyli pozornie niegroźną witrynę dla profesjonalistów IT, po czym wyemitowali w niej już jednoznacznie szkodliwą, dynamicznie generowaną reklamę. Aby utrudnić wykrycie ataku, malware ładowany był tylko wtedy, gdy użytkownik bezpośrednio przeszedł pomiędzy tymi dwiema konkretnymi stronami. Tematykę dobrano jednak tak, by zachować wysoki wskaźnik „konwersji”.
Kampania, emitowana dzięki Google DSA, czyli usłudze pozwalającej na dynamiczne generowanie reklam w oparciu o zawartość strony, promowała rzekomo nową wersję darmowego programu WinSCP. Ale kiedy ktoś wszedł na stronę pobierania bezpośrednio, był jedynie przekierowywany do wideo na YouTubie. Jeśli natomiast kliknął w feralną reklamę, to dostawał, obok oczekiwanego narzędzia, dwa skrypty Pythona do zdalnego wykonywania poleceń.
Tego rodzaju zachowanie uzyskano w prosty, ale dość cwany sposób. Mianowicie szkodliwa strona sprawdzała nagłówek u źródła przekierowania. Przy czym zastosowano też blokadę geograficzną dla samej reklamy, emitując ją jedynie osobom znajdującym się na terenie Ameryki Północnej.
Jak podkreślają fachowcy z Securonix, cały atak okazuje się naprawdę przemyślany. Dobierając odpowiednią tematykę, napastnicy zwiększali prawdopodobieństwo, że komputery ich potencjalnych ofiar zawierają wartościowe dane. Jednocześnie zgrabnie wyminęli boty kontrolne Google'a, gdyż te nie potrafią prześledzić tak zawoalowanego toru przekierowań.
Ile osób dało się naciąć i jakie w związku z tym poniesiono straty, nie wiadomo. Niemniej Securonix podkreśla, że niniejszy incydent nie jest jedynym w swojej kategorii, przypominając o zastosowaniu podobnej metody w październiku br. wobec mieszkańców Brazylii.
Przy czym o ile w przypadku WinSCP większość osób zapewne wzruszy rękoma, bo klient SFTP to oczywista nisza, o tyle w „kraju kawy” celem byli użytkownicy szalenie popularnego WhatsAppa. Konkretniej, szkodliwą reklamę dystrybuowano pod płaszczykiem nowej wersji przeglądarkowej komunikatora.
Źródło zdjęć: Shutterstock
Źródło tekstu: Securonix, oprac. własne