Недавно компания Malwarebytes обнаружила сеть вредоносной рекламы, использующую рекламную сеть Google для перенаправления посетителей на инфраструктуру мошенничества в сфере технической поддержки. Ничего не подозревающие пользователи, ищущие по популярным ключевым словам, нажимают на рекламу, и их браузер перехватывается фальшивыми предупреждениями, призывающими их позвонить поддельным агентам Microsoft для получения поддержки.
Отличительной особенностью этой кампании является то, что она использует очень распространенный способ поиска при навигации в Интернете: поиск сайта по названию вместо ввода его полного URL в адресной строке.
Злоумышленники злоупотребляют рекламной сетью Google, покупая рекламное пространство для популярных ключевых слов и связанных с ними опечаток. Обычное поведение человека - открыть браузер и выполнить быстрый поиск, чтобы попасть на нужный сайт, не вводя его полный URL. Как правило, пользователь (вслепую) нажимает на первую попавшуюся ссылку (будь то реклама или результат органического поиска).
Перехват трафика таким образом - это умная и, скорее всего, прибыльная схема, которая показывает некоторые проблемы и злоупотребления, связанные с размещением рекламы в сравнении с органическими результатами поиска.
В этой кампании мнаблюдается следующие основные поисковые запросы для рекламы, содержащей вредоносное ПО:
- Youtube
- Amazon
- Walmart .
Жертвы просто пытались посетить эти сайты и полагались на то, что Google Search приведет их туда. Вместо этого они попадали в "назойливый угонщик браузера", который пытался их обмануть.
Indicators of Compromise
IPv4
- 159.203.183.136
Domains
- abhihomeabh.com
- aeowqpeqwpa924.ga
- allnewz.site
- bhtl.digital
- cduitiek.tk
- eauxedrill.com
- ejdcvvdhsjdj.ml
- feopqwoeqw245.ga
- getcdprm.org
- gettouy.org
- iowqepwoqe425.ga
- kalarahulshet.com
- monhomedecore.com
- morth.buzz
- playcrpm.com
- rasteringfileweb539.ga
- rsgdkffvsjkoavd.ml
- shopmealy.com
- ssgvbcxcc.ga
- tevarsingh.com
- vlt.me
- youtubelinktrack.live