Для многих Google является самым простым способом найти программное обеспечение, но в последние несколько месяцев злоумышленники сделали этот метод опасным. Рекламные позиции в списке результатов поиска (те, что на самом верху) зачастую ведут не к производителю или в магазин приложений, а на страницу загрузки имитатора, устанавливающего вместо нужной программы вредоносное ПО.
Среди подделок замечены копии страниц загрузки таких программ, как MSI Afterburner, Bitwarden, Grammarly, Blender, Gimp, Adobe Reader, Microsoft Teams, OBS, Slack, Thunderbird и многие другие. Кампании вредоносной рекламы, выдающие себя за эти бренды, «оккупировали» Google Ads как минимум с декабря. Злоумышленники нашли способ добавлять в результаты поиска свои страницы, избегая при этом обнаружения Google.
Технология состоит в создании на первый взгляд безобидных сайтов для размещения в Google Ads, которые, в свою очередь, перенаправляют пользователей на вредоносные страницы. Мошеннический сайт выглядит идентично официальной странице загрузки искомого ПО. Хитрость в том, что перенаправление происходит только при клике пользователя на рекламу. Сканеры, боты, специалисты по обеспечению соблюдения правил Google или кто-либо еще, кто напрямую вводит URL-адрес, отображаемый в объявлении, увидят формально безопасный рекламный сайт.
Кроме того, вредоносные программы часто не загружаются напрямую через браузер. Зловред может быть спрятан в GitHub, Dropbox или Discord для снижения вероятности обнаружения антивирусами. Некоторые вредоносные программы снабжены цифровой подписью Microsoft, Acer, DigiCert, Sectigo или AVG Technologies USA. Перечисленные методы маскировки используются в различных комбинациях. В число вредоносных программ, распространяемых подобным образом, входят Formbook, IcedID, MetaStealer и другие.
В декабре ФБР предупреждало пользователей о вредоносной рекламе Google, рекомендуя блокировщики рекламы – эффективное, хотя и неоднозначное решение. В данном случае, чтобы избежать заражения, достаточно просто не нажимать на рекламируемые результаты поиска. Пока Google Ads не отреагирует на кампании вредоносной рекламы, пользователям следует тщательно выбирать источники установочных файлов программ.
Источник: TechSpot