Рекламная кампания Google нацелена на такие полезные программы, как Slack и другие, и скрывает вредоносные объявления за несколькими слоями отпечатков пальцев и маскировки.
Злоумышленники используют различные платформы для размещения своей полезной нагрузки, включая аккаунты GitHub для пользователей Windows и PHP-скрипты для Mac. Вредоносные объявления выглядят подлинными, но их можно идентифицировать, проверив профиль рекламодателя. После сообщения об этом Google удалил рекламу и рекламодателя, но новые объявления продолжают появляться. Жертв перенаправляют на сайты-обманки и обманом заставляют загрузить вредоносное ПО.
Indicators of Compromise
IPv4
- 193.3.19.251
- 85.209.11.155
Domains
- clockify.turnrevenue.com
- creativekt.com
- notion.foreducationapp.com
- odoo.studioplatformapp.net
- slack.aerodrame.finance
- slack.designexplorerapp.net
- slack.workmeetingsapp.com
URLs
- github.com/09shubin/asdjh23/releases/download/nhehhh34/
- github.com/fewefwfewfew/dwqfqwe/releases/download/fecfewwefewf3/
SHA256
- 2b587ca6eb1af162951ade0e214b856f558cc859ae1a8674646f853661704211
- 637b3ac5b315fd77b582dff2b55a65605f2782a717bed5aa6ef3c9722e926955
- 6eb1e3abf8a94951a661513bee49ffdbecfc8f7f225de83fa9417073814d4601
- 77615ea76aedf283b0e69a0d5830035330692523b505c199e0b408bcccd147b7
- 79017a6a96b19989bcf06d3ceaa42fd124a0a3d7c7fca64af9478e08e6c67c72
- 9c8dadbb45f63fb07fd0a6b6c36c7aa37621bbadc1bcc41823c5aad1b0d3e93e
- 9dc9c06c73d1a69d746662698ac8d8f4669cde4b3af73562cf145e6c23f0ebdd
- b55f2cb39914d84a4aa5de2f770f1eac3151ca19615b99bda5a4e1f8418221c2
- de7b5e6c7b3cee30b31a05cc4025d0e40a14d5927d8c6c84b6d0853aea097733
- e3557fb78e8fca926cdb16db081960efc78945435b2233fbd80675c21f0bc2e2