Google a devenit victimă a propriei sale platforme de publicitate, permițând actorilor de amenințare să creeze anunțuri false pentru Google Authenticator care împing malware-ul de colectare a informațiilor DeerStealer.
Timp de ani de zile, campaniile de publicitate răuvoitoare (malvertising) au vizat platforma de căutare Google, unde actorii de amenințare plasează anunțuri pentru a se impersonaliza cu site-urile de software cunoscute care instalează malware pe dispozitivele vizitatorilor.
Pentru a agrava situația, actorii de amenințare au reușit să creeze anunțuri de căutare Google care afișează domenii legitime, ceea ce adaugă un sentiment de încredere reclamei.
Într-o nouă campanie de malvertising descoperită de Malwarebytes, actorii de amenințare au creat anunțuri care afișează o reclamă pentru Google Authenticator atunci când utilizatorii caută software-ul în căutarea Google.
Ce face anunțul mai convingător este faptul că arată ‘google.com’ și ‘https://www.google.com’ ca URL-ul de clic, lucru care clar nu ar trebui să fie permis atunci când o terță parte creează reclama.
Am văzut această strategie de mascare a URL-ului foarte eficientă în campaniile anterioare de malvertising, inclusiv pentru KeePass, Arc Browser, YouTube și Amazon. Cu toate acestea, Google continuă să nu detecteze atunci când sunt create aceste anunțuri impostoare.
Malwarebytes a remarcat că identitatea reclamantului este verificată de Google, arătând o altă vulnerabilitate în platforma de publicitate pe care actorii de amenințare o abuzează.
Când au fost contactați cu privire la această campanie de malvertising, Google a declarat pentru BleepingComputer că au blocat falsul reclamant raportat de Malwarebytes.
Când li s-a cerut cum pot actorii de amenințare să plaseze anunțuri impersonalizând companii legitime, Google a spus că actorii de amenințare evadează detectarea creând mii de conturi simultan și folosind manipularea textului și mascarea pentru a arăta recenzorilor și sistemelor automate site-uri diferite decât le-ar vedea un vizitator obișnuit.
Cu toate acestea, compania își mărește scala sistemelor automate și a recenzorilor umani pentru a ajuta la detectarea și eliminarea acestor campanii răuvoitoare. Aceste eforturi le-au permis să elimine 3,4 miliarde de anunțuri, să restricționeze peste 5,7 miliarde de anunțuri și să suspende peste 5,6 milioane de conturi ale reclamanților în 2023.
Făcând clic pe anunțurile false pentru Google Authenticator, vizitatorul este direcționat printr-o serie de redirecționări către pagina de destinație de la ‘chromeweb-authenticators.com’, care se impersonalizează cu un portal Google autentic.
Firma de analiză a malware-ului în sandbox ANY.RUN a observat de asemenea această campanie, partajând pagini de destinație suplimentare din această campanie pe X. Acestea includ domenii cu nume similare, precum authenticcator-descktop[.]com, chromstore-authentificator[.]com și authentificator-gogle[.]com.
Făcând clic pe butonul ‘Descărcați Authenticator’ de pe site-urile false declanșează descărcarea unui executabil semnat numit ‘Authenticator.exe’ [VirusTotal] găzduit pe GitHub.
Repositoriul GitHub care găzduiește malware-ul poartă numele ‘authgg’ și proprietarii de repos ca ‘authe-gogle’, ambele asemănându-se numelor asociate temei campaniei.
Exemplul descărcat de Malwarebytes este semnat de ‘Songyuan Meiying Electronic Products Co., Ltd.’ cu o zi înainte de descărcare, dar ANY.RUN a primit anterior un payload semnat de ‘Reedcode Ltd.’
Signatura validă oferă fișierului credibilitate pe Windows, putând trece potențial de soluțiile de securitate și permițându-i să ruleze pe dispozitivul victimei fără avertismente.
Când descărcarea este executată, va lansa malware-ul de colectare a informațiilor DeerStealer, care fura date de autentificare, cookie-uri și alte informații stocate în browser-ul web.
Utilizatorilor care doresc să descarce software li se recomandă să evite clicarea pe rezultatele promovate în căutarea Google, să folosească un blocant de anunțuri sau să își salveze URL-urile proiectelor de software pe care le folosesc în mod obișnuit.
Înainte de a descărca un fișier, asigurați-vă că URL-ul pe care vă aflați corespunde domeniului oficial al proiectului. De asemenea, scanati întotdeauna fișierele descărcate cu un instrument AV actualizat înainte de a le executa.
Leave a Reply