Распространение вредоносного ПО, использующего отслеживание рекламы Google

security IOC
Опубликовано

Аналитический центр AhnLab SEcurity (ASEC) обнаружил новый тип вредоносного ПО, который распространяется через отслеживание Google Ads. Злоумышленники маскируют вредоносное ПО под инсталляторы популярных программ групповой работы, таких как Notion и Slack. Когда пользователь устанавливает и запускает программу, она загружает вредоносные файлы и полезную нагрузку с сервера злоумышленника. Некоторые имена файлов, обнаруженных на данный момент, включают Notion_software_x64_.exe, Slack_software_x64_.exe и другие.

Этот тип вредоносных программ распространяется как инсталляторы, использующие инструменты Inno Setup или Nullsoft Scriptable Install System (NSIS). Недавно пользователи обратили внимание на файл Notion_software_x64_.exe при поиске по ключевому слову "notion" в Google. Злоумышленники использовали систему отслеживания Google Ads, чтобы привести пользователей на свои сайты, заставляя их думать, что они заходят на легитимные страницы.

Система отслеживания Google Ads позволяет рекламодателям вставлять адреса внешних сайтов для сбора данных о посетителях. Они используют конечные URL и URL-паттерны, которые рекламные объявления могут перенаправлять на внешние сайты. Однако в этом случае злоумышленники заменили внешний сайт статистики на сайт с вредоносным кодом.

После перехода на такие страницы, пользователи были перенаправлены на другие сайты, где они могли загрузить вредоносные файлы. Вредоносная программа Rhadamanthys (тип Infostealer) загружается с указанного адреса и внедряется в легитимные файлы Windows. После этого она может собирать конфиденциальные данные пользователей.

Этот случай подтверждает, что злоумышленники могут использовать рекламу Google для распространения вредоносного ПО. Пользователям следует быть осторожными и обращать внимание на URL-адреса сайтов, на которые они переходят, а не только на информацию, отображаемую в рекламных объявлениях. Все поисковые системы, которые поддерживают отслеживание рекламного трафика, могут быть использованы злоумышленниками для распространения вредоносного ПО.

Indicators of Compromise

URLs

  • http://birdarid.org/@abcDS.exe
  • http://tinyurl.com/253x7rnn
  • http://tinyurl.com/4a3uxm6m
  • http://tinyurl.com/4jnvfsns
  • http://tinyurl.com/mrx7263e
  • https://alternativebehavioralconcepts.org/databack/notwin.php
  • https://bookpool.org/@Base.exe
  • https://cerisico.net/
  • https://pantovawy.page.link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
  • https://slashidot.org/@abcDP.exe
  • https://textbin.net/raw/oumciccl6b
  • https://yogapets.xyz/@abcmse1.exe

MD5

  • 12b6229551fbb1dcb2823bc8b611300f
  • 2498997ab3e66e24bc08d044e0ef4418
  • 33aa3073d148816e9e8de0af4f84582e
  • 9034cf58867961cde08a20cb1057c490
  • 9437c89a5f9a51a4ff6d6076083fa6c9
  • eef03c8cd2f27ead8b2d59d5cda4cf6e
  • f0a3499f83d2d9066ab19d39b9af6696
  • f2590ece758eb32302c504ac3ff413f4
  • f7200603cb8aa9e2b544255ed848c9c0
Похожие записи:
  1. BitRAT Trojan IOC
  2. Lazarus APT IOCs - Part 2
  3. FARGO Ransomware IOCs
  4. LockBit 3.0/Amadey Bot IOCs
  5. Magniber Ransomware IOCs - Part 5
ASEC
Добавить комментарий