Masowe kampanie złośliwych reklam w Google – podszywają się Visual Studio, Zooma, Slacka, Grammarly, Malwarebytes, Afterburnera, Audacity, Brave, uTorrent czy Dashlane. Na koniec – infekcja komputera.
Na sekuraku dużo ostatnio było o tym informacji - Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google
Reklama nie przenosi Cię na właściwą stronę - łudząco przypomina tą właściwą.
Są także inne reklamy więc warto uważać co pobieramy z internetu przez wyszukiwanie tego w google.
Opisywany proceder jest o tyle ciekawy, że na początek reklamowane serwisy są całkiem w porządku (nie serwują malware) – to uspokaja Google. Później jeśli normalnie wchodzimy na dany serwis – również wszystko w porządku.
Ale jeśli ktoś kliknie w reklamę, trafia na serwis „proxy”, który automatycznie przekierowuje do serwisu z malware:
Finalna strona sugeruje pobranie danego oprogramowania np. z GitHuba. I tutaj znowu mniej zorientowani użytkownicy mogą myśleć – pobiorę coś z GitHuba – to na pewno będzie bezpieczne. Błąd:
Ładunek złośliwego oprogramowania Vermux — udostępniany bezpłatnie w serwisie GitHub
Ładunek Vermux jest w większości zbudowany w oparciu o trojana Vidar do kontroli i pewną zastrzeżoną kompilację oprogramowania do wydobywania Monero opartego na Pythonie. Pliki są zgodne z zasadami, o których wspominaliśmy wcześniej, co sprawia, że są trudne do wykrycia i wymykają się. Vermux nie tylko nadużywa reputacji i siły propagacyjnej Google Ads, ale także nadużywa reputacji znanych usług udostępniania plików i repozytoriów kodu, takich jak BitBucket, GitHub, Dropbox, OneDrive itp. Oto kilka przykładów takich repozytoriów odkrytych w GitHub:
Ale widać że jest tego znacznie więcej:
Kilka rad:
Zainstalujcie AdBlockera – np. uBlock origin.
Dokładnie sprawdzajcie pasek adresu strony, z której pobieracie instalatory. Czasem różnica z oryginałem może być minimalna:
Przed instalacją warto przeskanować plik instalacyjny w serwisie virustotal.com
Konto Google: pamiętaj o silnym haśle (idealnie > 15 znaków), włącz dwustopniowe uwierzytelnienie oraz wygeneruj kody zapasowe (mogą być one potrzebne do sprawnego odzyskania dostępu do konta, jeśli stracisz do niego dostęp). Wszystko to możesz zrobić na zakładce Security (https://myaccount.google[.]com/security)
Rozważ skonfigurowanie Google Advanced Protection.
Streszczenie
Bezpieczeństwo to kwestia zaufania — dlatego stale polegamy na zaufanych, renomowanych dostawcach w naszych codziennych staraniach w Internecie. Nikt nie jest jednak doskonały i prawdopodobnie jest więcej złych aktorów, którzy chcą wykorzystać te luki w zabezpieczeniach, niż możemy sobie wyobrazić. Tutaj dokładnie to widzimy — nieustanny wyścig szczurów między firmami stojącymi za tymi potężnymi systemami reklamowymi, globalną dostawą treści i infrastrukturą bezpieczeństwa do tych wymijających aktorów, którzy znajdują sposób, by wymknąć się spod radaru i wykorzystać zaufanych innych dla własnych korzyści.
Ta koncepcja „masquerAd” jest prosta, ale robi dokładnie to, czego potrzebują ci aktorzy — nadużywa zaufania, które czasami ślepo obdarzamy Google i ich promowane wyniki wyszukiwania. Do tego dochodzi nadużywanie renomowanych serwisów wymiany plików oraz znanych marek oprogramowania, co sprawia, że omijają one nawet najbardziej zaawansowane EDR-y na rynku. Stosowanie bardziej behawioralnego i bezstronnego poziomu ochrony jest nieuniknione — nawet w przypadku najprostszych i najczęstszych czynności, takich jak wyszukanie czegoś w googlach…
Nie daj się nabrać na błędne nazwy domen i zawsze dokładnie sprawdzaj, skąd pobierasz pliki!
