В последнее время злоумышленники активно используют метод "малвертайзинга" для распространения вредоносного ПО через поисковые системы. Этот способ заключается в том, что киберпреступники размещают рекламные блоки с вредоносными ссылками в верхней части выдачи, что повышает доверие пользователей и увеличивает вероятность заражения. Ранее подобные атаки уже фиксировались, например, в случае с RedLine Stealer, который распространялся через Google Ads. Теперь же аналогичная схема была обнаружена в одной из крупнейших китайских поисковых систем, где злоумышленники внедряли поддельные версии популярных текстовых редакторов.
Описание
Специалисты по кибербезопасности зафиксировали как минимум два случая, когда пользователи получали доступ к вредоносным сайтам через рекламные блоки и органическую выдачу. В одном из случаев злоумышленники выдавали свои ресурсы за официальные страницы известных текстовых редакторов, таких как Notepad++ и VNote. На этих сайтах предлагались модифицированные версии программ, которые после установки запускали вредоносную нагрузку. Пока точный механизм заражения и тип вредоносного ПО остаются не до конца изученными, но уже известно, что атака могла затронуть значительное количество пользователей.
Анализ вредоносных файлов показал, что злоумышленники адаптировали свои атаки под разные операционные системы. Например, для macOS распространялся исполняемый файл под названием NotePad--, который перед запуском основной программы инициализировал подозрительный класс Uplocal. Этот класс загружал дополнительный вредоносный код с удаленного сервера, что позволяло злоумышленникам получать контроль над системой. В случае с Linux вредоносная версия программы также содержала измененный код, включающий хэш MAC-адреса, что могло использоваться для идентификации зараженных устройств.
На момент обнаружения некоторые из вредоносных ссылок уже были недоступны, что может свидетельствовать о том, что злоумышленники оперативно меняют свои тактики или скрывают следы атаки. Однако эксперты предупреждают, что подобные кампании могут возобновиться в любой момент, особенно учитывая их эффективность. Пользователям настоятельно рекомендуется скачивать программное обеспечение только с официальных сайтов разработчиков и проверять доменные имена на предмет подозрительных изменений.
Кроме того, специалисты рекомендуют использовать антивирусные решения с функцией защиты от фишинга и вредоносной рекламы, а также регулярно обновлять программное обеспечение, чтобы минимизировать риски заражения. Владельцам корпоративных сетей следует усилить мониторинг трафика и блокировать подозрительные домены, чтобы предотвратить возможные инциденты. В условиях роста сложности кибератак осведомленность пользователей и своевременное применение защитных мер становятся критически важными элементами информационной безопасности.
Пока неясно, кто именно стоит за этой кампанией, но ее масштабы и изощренность указывают на то, что злоумышленники тщательно планируют свои действия. Возможно, в ближайшее время появятся новые данные о методах атаки и способах защиты, поэтому пользователям и организациям стоит оставаться начеку. В любом случае, подобные инциденты еще раз подчеркивают необходимость комплексного подхода к кибербезопасности, включающего как технические, так и организационные меры защиты.
Индикаторы компрометации
Domains
- dns.transferusee.com
- vnote.fuwenkeji.cn
- vnote.info
- vnote-1321786806.cos.ap-hongkong.myqcloud.com
- vnotepad.com
URLs
- update.transferusee.com/DPysMac64
- update.transferusee.com/DPysMacM1
- update.transferusee.com/onl/lnx/
- update.transferusee.com/onl/mac/
MD5
- 00fb77b83b8ab13461ea9dd27073f54f
- 43447f4c2499b1ad258371adff4f503f
- 47c9fec1a949e160937dd9f9457ec689
- 5ece6281d57f16d6ae773a16f83568db
- 6ace1e014863eee67ab1d2d17a33d146
