Nadużywanie sieci reklamowej – hakerzy włamują się teraz do firm za pośrednictwem wyszukiwarki

W ciągu ostatnich kilku lat hakerzy w coraz większym stopniu atakowali klientów i firmy, oferując skażone złośliwe oprogramowanie wzmacniane reklamami. Sposób na to oszustwo jest prosty – grupy cyberprzestępcze tworzą fałszywe strony internetowe z oprogramowaniem cieszącym się dużym zainteresowaniem i promują je na górze strony wyników za pomocą reklam.

Niebezpieczne reklamy – jak hakerzy włamują się do firm?

Wystarczy jedno wyszukiwanie i jedno kliknięcie, aby użytkownik padł ofiarą tej sztuczki. Świadczy o tym seria ataków na prominentne osobistości z branży kryptowalut, które miały miejsce w 2023 r., a także niedawna fala incydentów, którą zespół Bitdefender zbadał w drugiej połowie roku.

Niniejszy raport opiera się na badaniu dotyczącym wykorzystania przez podmioty zagrażające złośliwego archiwum ISO do zaoferowania użytkownikom. Oprócz reklamowanego oprogramowania złośliwy plik ISO zawierał archiwum ZIP zawierający plik wykonywalny Pythona i jego zależności. Jedna biblioteka DLL załadowana przez proces python.exe została ustawiona w celu wykonania szkodliwego kodu w postaci modułu pośredniczącego Meterpreter, umożliwiającego atakującym dostęp do komputera ofiary.

Zaczynając od tego podzbioru wskaźników, badacze Bitdefender byli w stanie zidentyfikować więcej artefaktów związanych z tą samą kampanią, która prawdopodobnie rozpoczęła się co najmniej od maja 2023 r. Szkodliwe archiwa ISO były dystrybuowane za pomocą złośliwych reklam, które podszywały się pod strony pobierania aplikacji takich jak jak AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize i potencjalnie więcej.

Najprawdopodobniej ta sama kampania przyciągnęła uwagę wielu badaczy bezpieczeństwa i chcielibyśmy połączyć ich wysiłki, dzieląc się naszymi własnymi ustaleniami.

Ta kampania zawierająca złośliwe reklamy prowadzi do rozprzestrzeniania się infekcji po początkowej ekspozycji. Tak długo, jak przebywają w sieci ofiary, głównym celem atakujących jest uzyskanie danych uwierzytelniających, skonfigurowanie trwałości w ważnych systemach i eksfiltracja danych, a ostatecznym celem jest wymuszenie. Zauważyliśmy również próby wdrożenia oprogramowania ransomware BlackCat.

Wnioski w skrócie:

• Podmiot zagrażający mający wcześniejsze korzenie w cyberprzestępczości zmienił swoje początkowe techniki dostępu na reklamy w wyszukiwarkach, aby przejąć wyszukiwania aplikacji biznesowych, takich jak AnyDesk, WinSCP, Cisco AnyConnect, Slack, TreeSize i potencjalnie innych.
• Z badań zespołu Bitdefender wynika, że sprawcy z powodzeniem stosowali tego typu ataki od końca maja 2023 r.
• Z analiz zagrożeń zespołu Bitdefender wynika, że napastnicy skupiają się wyłącznie na Ameryce Północnej. Do tej pory zidentyfikowano sześć organizacji docelowych w USA i jedną w Kanadzie.

Jeśli chcesz uchronić się przed cyberzagrożeniami związanymi z niebezpiecznymi reklamami i złośliwym oprogramowaniem, to pamiętaj o tym, aby zawsze zabezpieczyć swoje urządzenia za pomocą skutecznego systemu antywirusowego, np. Bitdefender Total Security oraz korzystać z prywatnej sieci VPN.