Ostatnio pojawiły się informacje na temat zaawansowanej kampanii reklamowej, która wykorzystuje Google Ads do nielegalnych działań. Ta kampania jest wyjątkowa pod względem swojego podejścia do oszukiwania użytkowników oraz dystrybucji złośliwego oprogramowania. Firma Malwarebytes, która odkryła tę działalność, opisuje ją jako “niezwykle przemyślaną pod względem pozyskiwania danych użytkowników i rozprowadzania wrażliwych materiałów w określonym czasie”.
Atak polega na ukierunkowywaniu użytkowników, którzy poszukują popularnego oprogramowania, takiego jak Notepad++ czy konwertery plików PDF, na fałszywe strony docelowe wyświetlające fałszywe reklamy w wynikach wyszukiwania Google. Te reklamy, po kliknięciu, przekierowują użytkowników na witryny, które eliminują boty i niepożądane adresy IP, prezentując zamiast tego fałszywe treści.
Jeśli użytkownik jest uznawany za potencjalną ofiarę cyberprzestępców, zostaje przekierowany na kopię strony internetowej reklamującej oprogramowanie. Jednocześnie cicho zbiera się odciski palców z systemu użytkownika, aby określić, czy żądanie pochodzi z maszyny wirtualnej.
Użytkownicy, którzy nie zostaną zweryfikowani, są ostatecznie kierowani na prawdziwą witrynę Notepad++, podczas gdy potencjalnym celom przypisywany jest unikalny identyfikator, który służy nie tylko do śledzenia, ale także do zapewnienia, iż każda instalacja jest unikalna i zależna od czasu.
Szkodliwe oprogramowanie, które jest rozprowadzane w tej kampanii, to ładunek HTA, który nawiązuje połączenie z odległą domeną na niestandardowym porcie i dostarcza dodatkowe złośliwe oprogramowanie.
Warto podkreślić, iż choć Google Ads ma politykę weryfikacji reklam, ta kampania pokazuje, iż choćby w środowisku reklamowym można napotkać wyrafinowane zagrożenia. Przestępcy stosują techniki unikania, które pomagają im unikać weryfikacji reklam i atakować konkretne cele.
Ponadto, w innej kampanii wykorzystującej złośliwe reklamy, przestępcy wykorzystują technikę znana jako “Punycode” do przekierowania ofiar na fałszywe strony internetowe. Ta technika polega na tworzeniu podobnych nazw domen, które są trudne do odróżnienia od prawdziwych, aby oszukać użytkowników i zainstalować złośliwe oprogramowanie.
Dlatego ważne jest, aby być bardzo ostrożnym podczas korzystania z wyszukiwarek internetowych i klikania w reklamy, choćby jeżeli pochodzą z renomowanego źródła. Mimo polityki weryfikacji reklam, złośliwe kampanie reklamowe mogą przez cały czas istnieć i stwarzać zagrożenie dla użytkowników. Dlatego zawsze warto być czujnym i ostrożnym podczas przeglądania internetu, aby uniknąć wpadnięcia w pułapkę cyberprzestępców.