Преступники снова используют рекламу Google Ads, чтобы обманом заставить пользователей загрузить вредоносное программное обеспечение (ПО). На этот раз они используют вредоносную рекламу, которая замаскирована под популярный веб-браузер Google Chrome.
SecTopRAT Malware
Жертвы, которые нажимают на рекламу, попадают на мошенническую страницу Google Sites, которая создана в качестве промежуточного портала. Это похоже на то, что мы видели в начале этого года в рамках крупной фишинговой кампании с использованием аккаунтов Google.
Последнее перенаправление в итоге приводит к загрузке большого исполняемого файла, который замаскирован под Google Chrome. Этот файл не только устанавливает вредоносные программы, но и скрытно передает полезную нагрузку в виде вредоносного ПО, известного как SecTopRAT.
Этот инцидент был сообщен Google, но на момент написания статьи фальшивая страница Google Sites по-прежнему работает.
Также было обнаружено подозрительное рекламное объявление при поиске запроса "скачать Google Chrome". URL-адрес этого объявления указывает на "https://sites.google.com", что является платформой для создания сайтов, предоставляемой Google.
Хотя большинство страниц на этой платформе являются легитимными, следует помнить, что они создаются пользователями, и злоумышленники могут злоупотреблять этим, создавая фальшивые рекламные объявления.
После того, как пользователь дважды щелкает по файлу GoogleChrome.exe, поддельный установщик Chrome подключается к определенному веб-серверу и получает необходимые инструкции. Затем выполняются действия, требующие прав администратора, чтобы загрузить и установить вредоносное ПО.
Вредоносное ПО затем загружает и выполняет вредоносный код, который внедряется в легитимный процесс MSBuild.exe. Данный код связывается с сервером командно-контрольной инфраструктуры злоумышленников и идентифицируется как SecTopRAT, троян удаленного доступа с возможностью кражи.
Чтобы еще больше запутать жертву, вредоносное ПО также загружает и устанавливает легитимный браузер Google Chrome. Кроме того, было обнаружено, что эти же злоумышленники запускают фальшивые установщики программ Notion и Grammarly.
Indicators of Compromise
IPv4
- 45.141.84.208
Domains
- chrome.browser.com.de
- launchapps.site
URLs
- chrome.browser.com.de/GoogleChrome.exe
- https://pastebin.com/raw/eB8bmiVA
- sites.google.com/view/gfbtechd/
SHA256
- 0f9b2870c4be5ebacb936000ff41f8075ec88d6535161a93df8e6cfea2d8db54
- 48fdfbe23eef7eddff071d3eda1bc654b94cf86036ca1cca9c73b0175e168a55
- f0977c293f94492921452921181d79e8790f34939429924063e77e120ebd23d7
