Τα ψεύτικα Cisco Webex Google Ads καταχρώνται πρότυπα παρακολούθησης για την προώθηση κακόβουλου λογισμικού
Οι φορείς απειλών χρησιμοποιούν πρότυπα παρακολούθησης του
Google Ads
ως παραθυράκι για να δημιουργήσουν πειστικές διαφημίσεις αναζήτησης λογισμικού Webex που ανακατευθύνουν τους χρήστες σε ιστότοπους που διανέμουν το κακόβουλο
λογισμικό
BatLoader.
Το Webex είναι μια σουίτα τηλεδιάσκεψης και κέντρου επικοινωνίας που αποτελεί μέρος του χαρτοφυλακίου προϊόντων συν
εργασία
ς της
Cisco
και χρησιμοποιείται από εταιρείες και επιχειρήσεις σε όλο τον κόσμο.
Αναφορές Malwarebytes
ότι η
καμπάνια
κακόβουλης διαφήμισης είναι ενεργή στην Αναζήτηση Google εδώ και μια εβδομάδα, με τους παράγοντες απειλών να φαίνονται να είναι από το Μεξικό.
Κακόβουλη διαφημιστική καμπάνια Google
Η Malwarebytes αναφέρει ότι μια κακόβουλη διαφήμιση της Google υποδύεται την επίσημη πύλη λήψης Webex, καταλαμβάνοντας την υψηλότερη θέση στα αποτελέσματα της Αναζήτησης Google για τον όρο “webex”.
Αυτό που κάνει τη διαφήμιση να φαίνεται νόμιμη είναι ότι χρησιμοποιεί το πραγματικό λογότυπο Webex και εμφανίζει τη νόμιμη διεύθυνση URL, “webex.com”, ως προορισμό κλικ. Αυτά τα στοιχεία διαφήμισης κάνουν τη διαφήμιση να φαίνεται νόμιμη και να μην ξεχωρίζει από μια πραγματική διαφήμιση της Cisco.
Κακόβουλη διαφήμιση
(Malwarebytes)
Οι φορείς απειλών μπορούν να εκμεταλλευτούν ένα κενό στο πρότυπο παρακολούθησης της πλατφόρμας Google Ad που τους επιτρέπει να ανακατευθύνουν κατά βούληση, ενώ συμμορφώνονται με την πολιτική της Google.
Συγκεκριμένα, η Google λέει ότι οι διαφημιστές μπορούν να χρησιμοποιήσουν
πρότυπα παρακολούθησης
με παραμέτρους διεύθυνσης URL που καθορίζουν μια διαδικασία κατασκευής “τελικού URL” με βάση τις συλλεγόμενες πληροφορίες χρήστη σχετικά με τη συσκευή, την τοποθεσία τους και άλλες μετρήσεις που σχετίζονται με τις αλληλεπιδράσεις με διαφημίσεις.
Η πολιτική ορίζει ότι το URL εμφάνισης μιας διαφήμισης και το τελικό URL πρέπει να ανήκουν στον ίδιο τομέα. Ωστόσο, τίποτα δεν εμποδίζει το πρότυπο παρακολούθησης να ανακατευθύνει τους χρήστες σε έναν ιστότοπο εκτός του υποδεικνυόμενου τομέα.
Σε αυτήν την περίπτωση, οι φορείς απειλών χρησιμοποίησαν μια διεύθυνση URL Firebase (“trixwe.page.link”) ως πρότυπο παρακολούθησης, με τελικό URL https://www.webex.com.
Ωστόσο, εάν γίνει κλικ στη διαφήμιση, ο επισκέπτης ανακατευθύνεται στη σελίδα “trixwe.page[.]σύνδεσμος”, το οποίο φιλτράρει τις επισκέψεις που φαίνεται να προέρχονται από ερευνητές και αυτοματοποιημένα προγράμματα ανίχνευσης.
Η αλυσίδα ανακατεύθυνσης
(Malwarebytes)
Εάν ο χρήστης είναι αυτός που επιθυμούν να στοχεύσουν, θα τον ανακατευθύνει στον ιστότοπο “monoo3at[.]com”, όπου πραγματοποιούνται περαιτέρω έλεγχοι για να διαπιστωθεί εάν είναι πιθανά θύματα ή ερευνητές που χρησιμοποιούν sandbox.
Εάν ο επισκέπτης είναι ένας από τους φορείς απειλών που επιθυμούν να στοχεύσουν, θα ανακατευθυνθεί σε έναν ιστότοπο που παρουσιάζει κακόβουλο λογισμικό στο “webexadvertisingoffer[.]com”, ενώ όλα τα άλλα θα ανακατευθυνθούν στον νόμιμο ιστότοπο “webex.com” της Cisco.
Η σελίδα απόρριψης κακόβουλου λογισμικού
(Malwarebytes)
Fake πρόγραμμα εγκατάστασης Webex
Εάν οι επισκέπτες της ψεύτικης σελίδας Webex κάνουν κλικ στα κουμπιά λήψης, λαμβάνουν ένα πρόγραμμα εγκατάστασης MSI που δημιουργεί πολλές διεργασίες και εκτελεί εντολές PowerShell για να εγκαταστήσει το κακόβουλο λογισμικό BatLoader.
Αυτό το κακόβουλο λογισμικό τελικά θα ανακτήσει, θα αποκρυπτογραφήσει και θα εκτελέσει ένα επιπλέον ωφέλιμο φορτίο κακόβουλου λογισμικού DanaBot.
Το DanaBot είναι ένα αρθρωτό τραπεζικό trojan που κυκλοφορεί στη φύση από το 2018, με δυνατότητα κλοπής κωδικών πρόσβασης, λήψης στιγμιότυπων οθόνης, φόρτωσης λειτουργικών μονάδων ransomware, κάλυψης κακόβουλης κυκλοφορίας C2 και παροχής άμεσης πρόσβασης σε παραβιασμένους κεντρικούς υπολογιστές μέσω HVNC.
Όσοι έχουν μολυνθεί με το DanaBot θα κλαπούν τα διαπιστευτήριά τους και θα σταλούν στους επιτιθέμενους, οι οποίοι είτε θα τα χρησιμοποιήσουν για περαιτέρω επιθέσεις είτε θα τα πουλήσουν σε άλλους παράγοντες απειλών.
Όταν αναζητάτε λογισμικό πηγής, είναι καλή πρακτική να παραλείπετε πάντα τα προωθούμενα αποτελέσματα στην Αναζήτηση Google και να κάνετε λήψη μόνο απευθείας από τον προγραμματιστή λογισμικού ή από έναν γνωστό, αξιόπιστο ιστότοπο.