Google prezentuje reklamy w wynikach wyszukiwania, jednak zanim klikniesz na jedną z nich, warto się zastanowić.
Cyberprzestępcy korzystają z platformy reklamowej Google Ads, aby rozpowszechniać złośliwe oprogramowanie. W rezultacie nawet na stronie z wynikami wyszukiwania Google, która wydaje się być bezpieczna, można wpaść w pułapkę. Jeśli przeoczymy podejrzane detale, możemy ściągnąć na komputer złośliwe oprogramowanie, które może doprowadzić do utraty danych i pieniędzy.
Jak wygląda atak za pomocą fałszywej reklamy?
Dzięki badaniom Elastic Labs dowiedzieliśmy się, jak fałszywe reklamy mogą wyglądać. Na pierwszy rzut oka nie różnią się od reklam autentycznych programów. W pośpiechu można nie zauważyć, że prowadzą do nieautentycznej strony dewelopera. W analizowanym przypadku programu AnyDesk mamy adres https://www.amydecke[.]website zamiast https://www.anydesk[.]com. Trudno przecież pamiętać wszystkie adresy stron programów.
Strona, na którą prowadzi reklama, jest myląco podobna do oryginalnej strony pobierania programu AnyDesk. Osoba, która nie zwróci uwagi na adres strony, nie zorientuje się, że jest w niebezpieczeństwie.
Jak można się domyślić, przycisk pobierania prowadzi do instalatora z zaskakującą zawartością. Co ciekawe, sam plik MSI wydaje się "czysty" i antywirusy nie wykrywają zagrożenia. W rzeczywistości instalowany zostaje odpowiedni program. W instalatorze znajduje się jednak podejrzany skrypt, który pobiera jeszcze bardziej podejrzaną bibliotekę DLL.
W kampanii imitującej pobieranie AnyDesk specjaliści odkryli złośliwe oprogramowanie LOBSHOT. W ciągu ostatniego roku zebrano ponad 500 próbek, zawsze będących 32-bitowymi plikami bibliotek DLL o rozmiarze od 93 do 124 kB. Zagrożenie zostało odpowiednio zamaskowane, utrudniając wykrycie i usunięcie.
Uważaj na swoje kryptoportfele!
Głównym celem LOBSHOT jest kradzież informacji z kryptoportfeli i wykorzystywanie ich do okradania użytkowników. Malware potrafi zdobyć dane z ponad 50 portfeli kryptowalut, instalowanych jako rozszerzenia w przeglądarkach Google Chrome, Microsoft Edge i Mozilla Firefox. Dzięki modułowi hVNC (hidden Virtual Network Computing) umożliwia zdalny dostęp do zainfekowanego komputera bez zwracania na siebie uwagi.
AnyDesk to nie jedyny program, który jest wykorzystywany w takich kampaniach. Analityk Will Dorman na Twitterze pokazał analogiczne kampanie z wykorzystaniem programów takich jak WinRAR, Notepad++, OBS, LibreOffice, Thunderbird, DOSBox i wiele innych. LOBSHOT nie jest również jedynym złośliwym programem, który można łatwo złapać za pomocą fałszywych reklam.
Jak się chronić? Aby uniknąć pułapek reklamowych, warto zwracać uwagę na szczegóły, takie jak adres strony i nazwa dewelopera. Upewnij się, że wiesz, gdzie klikasz i czy strona, do której prowadzi reklama, jest autentyczna. W przypadku podejrzeń, najlepiej pominąć reklamę i skorzystać z oficjalnej strony programu lub usługi.
Warto również zainstalować oprogramowanie antywirusowe i zawsze mieć włączoną ochronę przeglądarki. Antywirus może pomóc w wykryciu i usunięciu szkodliwego oprogramowania. Ochrona przeglądarki, tak jak na przykład blokowanie niebezpiecznych stron, może również pomóc w uniknięciu fałszywych reklam.
Podsumowując, korzystanie z internetu niesie ze sobą ryzyko ataków i kradzieży danych. Ważne jest, aby zawsze zachować ostrożność i zwracać uwagę na szczegóły. W przypadku podejrzeń, lepiej zachować ostrożność i pominąć reklamę, niż potencjalnie stracić dane lub pieniądze.
