Хакери масово розмістили в пошуковій видачі Google посилання на віруси

Пошук дистрибутивів популярних програм через Google завжди був пов’язаний із певним ризиком, але останніми днями кіберзлочинці значно активізувалися — посилання на ресурси зі шкідливим ПЗ показуються в рекламному блоці над органічною пошуковою видачею. Сама ж Google особливо через це не переймається, — пише Ars Techinca з посиланням на інформацію від організації Spamhaus.

За посиланнями в рекламі відкриваються сайти, з яких завантажуються підроблені інсталяційні файли таких відомих програм як Adobe Reader, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI Afterburner і Thunderbird. У реальності комп’ютери заражаються вірусами сімейств AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook і Xloader. Раніше це вірусне ПЗ поширювалися через фішингові кампанії та спам, але за останній місяць кіберзлочинці облюбували рекламну платформу Google Ads, що демонструє оголошення в пошуковій видачі.

Хакери використовують складні механізми віртуалізації, що ускладнює їхнє виявлення, і надсилають по кілька HTTP-запитів на різні адреси, тільки одна з яких належить справжньому керуючому серверу — сервери ж розміщуються у загальнодоступних хмарних провайдерів, включно з Azure, Tucows, Choopa і Namecheap.

Представник Google заявив, що кіберзлочинці часто використовують складні механізми маскування активності, а компанія за останні роки «запустила нові політики сертифікації», спрямовані на перевірку рекламодавців. Про сплеск шахрайських дій останніми днями компанія обізнана — боротьба з ними у неї в пріоритеті.