15 декабря сотрудники Kaiser Permanente столкнулись с вредоносной кампанией через поисковую рекламу Google. Мошенническая реклама притворялась HR-порталом компании и направляла пользователей на поддельный веб-сайт, предлагая обновить браузер. Один из известных типов вредоносного ПО, называемого SocGholish, был включен в эту кампанию.
SocGholish Malware
Вредоносная реклама использовала Google Ads для фишинга сотрудников крупных компаний. Жертвам показывали ложные объявления при поиске HR-портала, их атаковали, подумавшие, что они перешли на официальный сайт. Исследователи нашли одно такое объявление, зарегистрированное под именем 'Heather Black', которое показывалось только в США и ссылалось на сайт bellonasoftware[.]com. Ранее этот сайт использовался компанией Bellona Software в Румынии, но в настоящее время был взломан и использован в целях фишинга для Kaiser Permanente.
Сайт, на который пользователи попадали после нажатия на вредоносную рекламу, содержал в себе вредоносный код и фишинговый шаблон. Этот шаблон имитировал уведомление Google Chrome о необходимости обновить браузер и разрабатывался многими преступными группировками для заражения уязвимых веб-сайтов. Если жертва считалась ценной, злоумышленники получали доступ к ее компьютеру и совершали дальнейшие атаки.
SocGholish, название известного вредоносного ПО, использовалось в поддельном шаблоне уведомления, показанном жертвам. Это ПО запускало вредоносный скрипт при скачивании файла Update.js, который собирал информацию о компьютере жертвы и передавал ее злоумышленникам. После этого на компьютеры жертвы могли быть установлены дополнительные инструменты для проведения атак, такие как Cobalt Strike.
В данном случае вероятно, что злоумышленники не ожидали, что захваченный ими сайт будет взломан. Исследователи сделали вывод, что фишинговая кампания не имеет прямого отношения к SocGholish, и злоумышленники не ожидали такого поворота событий. Важно отметить, что атаки были направлены на пользователей, которые выполняли поиск через Google и переходили на сайт через реферальные ссылки.
Indicators of Compromise
Domains
- bellonasoftware.com
- premium.davidabostic.com
- riders.50kfor50years.com