Хакери масово розмістили в пошуковій видачі Google посилання на віруси

Пошук дистрибутивів популярних програм через Google завжди був пов’язаний із певним ризиком, але останніми днями кіберзлочинці значно активізувалися — посилання на ресурси зі шкідливим ПЗ показуються в рекламному блоці над органічною пошуковою видачею. Сама ж Google особливо через це не переймається, — пише Ars Tech­in­ca з посиланням на інформацію від організації Spamhaus.

За посиланнями в рекламі відкриваються сайти, з яких завантажуються підроблені інсталяційні файли таких відомих програм як Adobe Read­er, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI After­burn­er і Thun­der­bird. У реальності комп’ютери заражаються вірусами сімейств Auro­raSteal­er, Ice­dID, Meta Steal­er, Red­Line Steal­er, Vidar, Form­book і Xloader. Раніше це вірусне ПЗ поширювалися через фішингові кампанії та спам, але за останній місяць кіберзлочинці облюбували рекламну платформу Google Ads, що демонструє оголошення в пошуковій видачі.

Хакери використовують складні механізми віртуалізації, що ускладнює їхнє виявлення, і надсилають по кілька HTTP-запитів на різні адреси, тільки одна з яких належить справжньому керуючому серверу — сервери ж розміщуються у загальнодоступних хмарних провайдерів, включно з Azure, Tucows, Choopa і Namecheap.

Представник Google заявив, що кіберзлочинці часто використовують складні механізми маскування активності, а компанія за останні роки “запустила нові політики сертифікації”, спрямовані на перевірку рекламодавців. Про сплеск шахрайських дій останніми днями компанія обізнана — боротьба з ними у неї в пріоритеті.