Малвертайзинг продолжает набирать популярность.
Киберпреступники придумали изощренную схему для заражения корпоративных сетей вредоносным программным обеспечением. Они размещают в поисковых системах, таких как Google, рекламные объявления со ссылками на скачивание популярных утилит для Windows. Однако вместо легитимных программ жертвы получают вредоносные файлы.
Согласно отчету компании Rapid7 , специализирующейся на кибербезопасности, злоумышленники разместили в Google рекламу, продвигавшую поддельные сайты для загрузки Putty и WinSCP. Putty – популярный SSH-клиент, а WinSCP используется для безопасного обмена файлами по протоколам SFTP и FTP. Эти программы широко применяются системными администраторами, что делает их ценной мишенью для хакеров.
Рекламные объявления содержали ссылки на сайты с доменными именами, очень похожими на названия легитимных ресурсов, например puutty.org, vvinscp.net и другими созвучными вариантами с опечатками. Когда пользователь переходил по ссылке из рекламы, ему предлагалось скачать ZIP-архив, якобы содержащий нужную программу.
Однако внутри архива находились не сами утилиты, а вредоносный исполняемый файл Setup.exe, маскирующийся под установщик Python. При запуске этого файла активировался сложный механизм для внедрения вредоносного кода через уязвимость DLL Sideloading. Злоумышленники заменили легитимную библиотеку python311.dll на свою вредоносную версию.
Загруженная вредоносная DLL распаковывала и запускала зашифрованный Python-скрипт, устанавливающий опасный инструмент Sliver для удаленного доступа к системе. С его помощью хакеры могли загружать другие вредоносные утилиты вроде бэкдоров Cobalt Strike.
Получив первоначальный доступ к корпоративной сети, злоумышленники похищали конфиденциальные данные, пытались получить полный контроль над доменным контроллером и в конечном счете развернуть программу-вымогатель для шифрования файлов жертвы.
Эксперты Rapid7 отметили сходство этой кампании с недавно отслеженными атаками, использовавшими вымогатель BlackCat/ALPHV, который был обезврежен в прошлом году. Однако конкретное семейство вымогательского ПО в данном случае не раскрывается.
Использование поддельной поисковой рекламы для распространения вредоносов приобрело масштабный характер в последние пару лет. Эта техника называется малвертайзинг. Злоумышленники размещали объявления для ПО вроде CPU-Z, Notepad++, Grammarly, μTorrent, Dashlane и многих других известных программ.
Совсем недавно хакеры выкупили рекламу с легитимным URL криптобиржи Whales Market, но ссылка вела на фишинговый сайт для кражи криптовалюты у посетителей. Таким образом, эта схема представляет серьезную угрозу как для предприятий, так и для рядовых пользователей.
Эксперты призывают с осторожностью относиться к сторонним ссылкам на скачивание программ, даже в случаях, когда они рекламируются в популярных поисковых системах. Предпочтительным способом остается загрузка ПО только с официальных сайтов разработчиков.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
