• XSS.stack #1 – первый литературный журнал от юзеров форума

Hackers use Google Ads to spread malware

Отслеживать
marcorossi

marcorossi

RAID-массив
Пользователь
Регистрация
28.11.2022
Сообщения
90
Реакции
30
Hackers are pushing malware through fake website ads claiming to offer popular free software in Google search.

The reported software being faked are, among others, VLC, 7-Zip, CCleaner, Rufus and OBS.

Apparently, Google has already removed the malicious ads as they "have robust policies prohibiting ads that attempt to circumvent our enforcement by disguising the advertiser’s identity and impersonating other brands". But this doesn't mean that a larger scale attack could happen again.

Don't use Google 😉 try using aggregators like https://searx.github.io/searx/
Or at least wear protection.

Stay safe.

Sources:
https://mybroadband.co.za/news/secu...y-fake-malware-apps-in-google-search-ads.html
https://web.archive.org/web/2023011...via-google-search-ads-for-vlc-7-zip-ccleaner/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Screenshot_1.png

Тестировали мы эти 7 zip, а так же прочие архиваторы - могу сказать, что это худший оффер, с которым приходилось сталкиваться в работе с гуглом.
Либо пустые логи, либо брать уж совсем нечего. А вот за идею с Rufus - спасибо. Попробуем ;)
 
Always those bad hackers...
Do you know how to protect from them? I want to download free movies.
 
Операторы малвари все чаще злоупотребляют рекламой Google Ads для распространения вредоносных программ среди пользователей, которые ищут популярное ПО. Так, столкнуться с вредоносными объявлениями можно при поиске Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird и Brave.

О проблеме в деталях рассказали специалисты компаний Trend Micro и Guardio Labs. По их данным, хакеры все чаще используют тайпсквоттинг, клонируют официальные сайты вышеуказанных программ и производителей, а затем распространяют через них троянизированные версии ПО, которые в итоге загружают пользователи.


Среди малвари, доставляемой таким способом, встречаются версии стилера Raccoon, кастомная версия стилера Vidar, а также загрузчик малвари IcedID. К примеру, совсем недавно мы писали об одной из таких кампаний, в рамках которой злоумышленники распространяли майнеры и инфостилера RedLine с помощью фальшивых сайтов утилиты MSI Afterburner.

Фальшивый и настоящий сайт
Однако до недавнего времени было неясно, как именно пользователи попадают на такие вредоносные сайты. Оказалось, всё дело в злоупотреблениях рекламой в Google.

Эксперты Trend Micro и Guardio Labs рассказывают, что у Google, конечно, есть защитные механизмы на такой случай, однако злоумышленники научились их обходить. Дело в том, что если Google обнаружит, что лендинг, стоящий за рекламным объявлением, является вредоносным, кампания будет немедленно заблокирована, а реклама удалена. Поэтому злоумышленники действуют осторожно: сначала пользователей, кликнувших на рекламу, перенаправляют на нерелевантный, но безопасный сайт, так же подготовленный хакерами. Лишь оттуда жертву уже перенаправят непосредственно на вредоносный ресурс, маскирующийся под официальный сайт какого-то ПО.

Работа редиректов
Что касается полезных нагрузок, обычно они представлены в форматах ZIP или MSI и загружаются из авторитетных служб для обмена файлами и хостинга кода, включая GitHub, Dropbox или CDN Discord. Благодаря этому, антивирусные программы, работающие на компьютере жертвы, вряд ли станут возражать против таких скачиваний.

Эксперты Guardio Labs говорят, что в ходе одной кампании, которую они наблюдали в ноябре текущего года, злоумышленники распространяли среди пользователей троянизированную версию Grammarly, которая содержала стилер Raccoon. При этом малварь шла «в комплекте» с легитимным ПО, то есть пользователь получал ту программу, которую искал, а малварь устанавливалась «в довесок», автоматически.

Guardio Labs, давшая таким атакам название MasquerAds, приписывает большую часть этой вредоносной активности группировке Vermux, отмечая, что хакеры «злоупотребляют большим количеством брендов и продолжают развиваться». По их данным, Vermux в основном атакует пользователей в Канаде и США, используя фальшивые сайты для распространения вредоносных версий AnyDesk и MSI Afterburner, зараженных майнерами криптовалюты и стилером Vidar.

Схема атаки
Интересно, что именно эта активность хакеров, о которой теперь в деталях рассказали эксперты, недавно вынудила ФБР опубликовать предупреждение и рекомендацию по использованию блокировщиков рекламы (чтобы не видеть потенциально опасных объявлений в поисковиках вовсе).
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Grammarly MSI Afterburner, Thunderbird - так же ужасные офферы(
 
User_User_User сказал(а):
Grammarly MSI Afterburner, Thunderbird - так же ужасные офферы(
а мы решили что майнер крипты принесёт много крипты а логов вообще нет 0 с этого оффера, просто никому он не нужен оказался, провальная идея, и опыт наш ошибок трудных...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Masquer сказал(а):
от себя добавлю юзайте не службы вроде дискорда а cpanels
Разве через него еще можно раздавать файлы?
Месяц назад тестировали - вешает алерты. Ц панели - классический вариант, согласен
 
User_User_User сказал(а):
Разве через него еще можно раздавать файлы?
Месяц назад тестировали - вешает алерты. Ц панели - классический вариант, согласен
просто покупай по 10 бачей те которые не алертят и с пиздатыми сертами и любые другие параметры которые тебе нужны и всё будет в ёлочку, пиздатый домен что б был ;)
 
User_User_User сказал(а):
Grammarly MSI Afterburner, Thunderbird - так же ужасные офферы(

Кстати, в особых кругах MSI Afterburner, особенно его драйвер, позволяет поднять права с админа до SYSTEM, даже в 2023) CVE-2019-16098. Хорошая штука.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Masquer сказал(а):
просто покупай по 10 бачей те которые не алертят и с пиздатыми сертами и любые другие параметры которые тебе нужны и всё будет в ёлочку, пиздатый домен что б был ;)
Я и сказал о том, что ц панели - рабочий вариант) Раздача с дискорда умирает/умерла
 
Пожалуйста, обратите внимание, что пользователь заблокирован
User_User_User сказал(а):
Я и сказал о том, что ц панели - рабочий вариант) Раздача с дискорда умирает/умерла
Думал меня одного дискорд разлюбил
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Masquer сказал(а):
просто покупай по 10 бачей те которые не алертят и с пиздатыми сертами и любые другие параметры которые тебе нужны и всё будет в ёлочку, пиздатый домен что б был ;)
Не подскажешь, кто на этом форуме панелями торгует? У кого прикупить
 
User_User_User сказал(а):
Не подскажешь, кто на этом форуме панелями торгует? У кого прикупить

fintex сказал(а):
и мне если можно
if you search on this forum, the updated ones are

/threads/80030
/threads/80771
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх