DeerStealer Malware IOCs

В рекламе Google продолжает наблюдаться проблема подделки брендов. Пользователям, ищущим популярные ключевые слова, показываются вредоносные объявления, выглядящие как реклама официальных производителей. Это не только приводит к загрузке вредоносных программ, но и подрывает доверие к брендам и поиску Google.

DeerStealer

Как пример злоупотребления брендом стала ситуация с приложением Google Authenticator. В последние несколько дней пользователи, пытавшиеся загрузить это приложение через поиск Google, могли случайно установить вредоносное ПО. Был обнаружен поддельный сайт, на котором распространялся вредоносный файл.

Проблема заключается в объявлениях, выглядящих подлинными и отправленными от официальных источников, подтвержденных Google. В случае с рекламой Authenticator, одним из рекламодателей оказался поддельный аккаунт Ларри Марр, не имеющий отношения к Google. При нажатии на рекламу пользователей перенаправляли на несколько промежуточных доменов, контролируемых злоумышленником, и затем на поддельный сайт Authenticator.

Поддельный сайт содержал подписанный полезный файл, размещенный на GitHub. Злоумышленник зарегистрировал мошеннический сайт в тот же день, когда была замечена реклама, и использовал GitHub для размещения вредоносного файла. Программа DeerStealer, содержащая вредоносный код, представляла угрозу для личных данных пользователей. Она захватывала и выводила их на контролируемый злоумышленниками веб-сайт.

Таким образом, проблема подделки брендов в рекламе Google продолжает существовать. Это приводит к распространению вредоносных программ и потере доверия к брендам и самому поиску Google. В данном случае, поддельный сайт Authenticator распространял вредоносный файл DeerStealer, который крадет личные данные пользователей. Google и другие поисковые системы должны принять меры для борьбы с такими мошенничествами и защитить пользователей от подобных угроз.

DeerStealer Malware IOCs

DeerStealer

Indicators of Compromise

Domains

SHA256