Bedragare missbrukar Google Adwords, sökmotorjättens reklamplattform, för att leverera skadlig programvara till personer som söker efter legitim och populär programvara.
Googles säkerhetsåtgärder är generellt sett starka, men experter har lyckats använda en lösning.
Kampanjen är enkel: brottslingar skulle klona populär programvara som Grammarly, MSI Afterburner, Slack eller andra och infektera dem med en informationsstjuver. I det här fallet lade angriparna till Raccoon Stealer och IceID malware loader. De skulle sedan skapa en målsida dit offren skulle skickas för att ladda ner skadlig programvara. Dessa sidor har utformats för att se identiska ut med legitima sidor.
lura google
De skulle sedan skapa en annons och placera den på Google Adwords. På så sätt, varje gång en person söker efter dessa program eller andra relevanta sökord, ser de annonserna på flera ställen (inklusive toppositionerna på Googles sökmotorresultatsida).
Tricket är att Googles algoritm är relativt bra på att upptäcka skadliga målsidor som är värd för farlig programvara. För att kringgå säkerhetsåtgärder skulle angriparna också skapa en godartad målsida som annonsen skulle skicka besökare till.
Den här målsidan skulle omedelbart omdirigera offer till den skadliga sidan.
Cyberattackskampanjer som utnyttjar legitim programvara för att distribuera skadlig programvara är inget nytt, men forskare har varit mest i mörkret när det gäller metoder för att få människor till målsidor. I slutet av oktober upptäckte utredarna en stor kampanj som involverade mer än 200 bedrägliga domäner, men fram till idag visste ingen hur domänerna annonserades.
Nu när konspirationen har avslöjats kan vi förvänta oss att Google snabbt avslutar kampanjen (om den inte redan har gjort det).
Förutom de ovan nämnda apparna, efterliknade bedragarna också (öppnas i en ny flik) dessa program: Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird och Brave.
Via: BleepingComputer (öppnas i en ny flik)