В контексте онлайн-рекламы злоумышленники используют различные маскировки и приманки, чтобы обмануть рекламодателей. В данной статье рассматривается случай вредоносной рекламы Google для Cisco AnyConnect, программы, позволяющей удаленное подключение к сетям компаний и университетов. Злоумышленники создали поддельный сайт, внешне похожий на сайт немецкого университета, чтобы обойти системы безопасности. Они использовали имя университета и контент Cisco AnyConnect, чтобы сделать сайт более убедительным.
Описание
Злоумышленники разместили вредоносную рекламу, которая появлялась при поиске на Google по ключевым словам "cisco anyconnect". Реклама содержала URL-адрес, очень похожий на оригинальный, и была зарегистрирована менее чем за сутки до ее появления. При нажатии на объявление, сервер проверял потенциальную жертву и, если она была реальной, перенаправляла ее на фишинговый сайт для Cisco AnyConnect.
Реальные жертвы, которые посещали вредоносный сервер, были немедленно перенаправлены на фишинговый сайт, где была загружена вредоносная программа NetSupport RAT. Эта программа позволяет злоумышленнику получить удаленный доступ к компьютеру жертвы. Окончательные цели и мотивы злоумышленников неизвестны, но такие атаки могут быть направлены на кражу конфиденциальных данных или на использование компьютера в качестве ботнета.
Злоумышленники использовали несколько методов маскировки, чтобы сделать свой сайт и рекламу максимально реалистичными. Они копировали контент университета и добавили уведомление об отказе от использования cookie, которое требуется на сайтах Европы. Это позволило им избежать подозрений и обнаружения.
Indicators of Compromise
Domains
- anyconnect-secure-client.com
- cisco-secure-client.com.vissnatech.com
- monagpt.com
- mtsalesfunnel.com
URLs
- 199.188.200.195/fakeurl.htm
- 91.222.173.67/fakeurl.htm
- berrynaturecare.com/wp-admin/images/cisco-secure-client-win-5.0.05040-core-vpn-predeploy-k9.exe
SHA256
- 78e1e350aa5525669f85e6972150b679d489a3787b6522f278ab40ea978dd65d
