Google Ads стала самая опасная реклама вредоносных программ

Поиск в Google загрузок популярного программного обеспечения всегда сопряжен с риском, но за последние несколько месяцев он стал совершенно опасным, согласно исследователям и псевдослучайному набору запросов.

Ars Technica сообщает: «Исследователи угроз привыкли видеть умеренный поток вредоносной рекламы через Google Ads», — написали волонтеры Spamhaus в четверг.

«Однако за последние несколько дней исследователи стали свидетелями массового всплеска, затронувшего многие известные бренды, с использованием нескольких вредоносных программ, — это не является «нормой».

Всплеск исходит от многочисленных семейств вредоносных программ, включая AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook и XLoader.

В прошлом эти семьи обычно полагались на фишинг и вредоносный спам, который прикреплял документы Microsoft Word с макросами-ловушками.

За последний месяц Google Ads стал местом, где преступники могут распространять свои вредоносные программы, замаскированные под законные загрузки, выдавая себя за такие бренды, как Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor и Thunderbird.

В тот же день, когда Spamhaus опубликовал свой отчет, исследователи из охранной фирмы Sentinel One задокументировали расширенная кампания Google по вредоносной рекламе, продвигающая несколько вредоносных загрузчиков, реализованных в NET. Sentinel One назвал эти загрузчики MalVirt.

На данный момент загрузчики MalVirt используются для распространения вредоносных программ, наиболее известных как XLoader, доступных как для Windows, так и для macOS.

XLoader является преемником вредоносного ПО, также известного как Formbook. Злоумышленники используют XLoader для кражи данных контактов и другой конфиденциальной информации с зараженных устройств. Загрузчики MalVirt используют запутанную виртуализацию, чтобы обойти защиту и анализ конечной точки.

Чтобы скрыть реальный C2-трафик и избежать сетевых обнаружений, MalVirt использует маяки для обмана серверов управления и контроля, размещенных у провайдеров, включая Azure, Tucows, Choopa и Namecheap.

«Пока Google не разработает новые средства защиты, домены-приманки и другие методы запутывания остаются эффективным способом скрыть истинные управляющие серверы, используемые в безудержной MalVirt и других кампаниях по вредоносной рекламе», — заключает Арс.

«На данный момент ясно, что вредоносная реклама одержала верх над значительной мощью Google».