Η Google έχει πέσει θύμα της δικής της πλατφόρμας διαφημίσεων, καθώς κακόβουλοι παράγοντες δημιουργούν ψεύτικες διαφημίσεις Google Authenticator, που ωθούν το DeerStealer malware.
Δείτε επίσης: Κινέζοι hackers στοχεύουν ιαπωνικές εταιρείες με LODEINFO και NOOPDOOR Malware
Για χρόνια, κακόβουλες διαφημιστικές καμπάνιες (malvertising) στοχεύουν την πλατφόρμα αναζήτησης Google, όπου οι κακόβουλοι παράγοντες τοποθετούν διαφημίσεις για να μιμηθούν γνωστούς ιστότοπους λογισμικού που εγκαθιστούν malware στις συσκευές των επισκεπτών. Για να γίνουν τα πράγματα χειρότερα, οι hackers μπόρεσαν να δημιουργήσουν διαφημίσεις αναζήτησης Google που εμφανίζουν νόμιμους τομείς, γεγονός που προσθέτει μια αίσθηση εμπιστοσύνης στη διαφήμιση.
Σε μια νέα καμπάνια malvertising που εντοπίστηκε από την Malwarebytes, οι παράγοντες απειλών δημιούργησαν διαφημίσεις για το Google Authenticator, όταν οι χρήστες αναζητούν το λογισμικό στην αναζήτηση Google, για να ωθήσουν το DeerStealer malware. Αυτό που κάνει τη διαφήμιση πιο πειστική είναι ότι εμφανίζει το “google.com” και το “https://www.google.com” ως το URL, κάτι που σαφώς δεν θα πρέπει να επιτρέπεται όταν ένα τρίτο μέρος δημιουργεί τη διαφήμιση.
Έχουμε δει αυτήν την πολύ αποτελεσματική στρατηγική απόκρυψης URL σε προηγούμενες καμπάνιες malvertising , συμπεριλαμβανομένων των KeePass, Arc browser, YouTube και Amazon. Ωστόσο, η Google εξακολουθεί να αποτυγχάνει να ανιχνεύει πότε δημιουργούνται αυτές οι ψεύτικες διαφημίσεις.
Η Malwarebytes σημείωσε ότι η ταυτότητα του διαφημιζόμενου επαληθεύεται από την Google, δείχνοντας μια ακόμα αδυναμία της διαφημιστικής πλατφόρμας, την οποία καταχρώνται οι φορείς απειλών.
Η Google είπε στο BleepingComputer ότι απέκλεισε τον ψεύτικο διαφημιστή που αναφέρθηκε από τη Malwarebytes.
Δείτε ακόμα: Καμπάνια SMS stealer malware μολύνει συσκευές Android
Όταν ρωτήθηκε πώς οι κακόβουλοι παράγοντες μπορούν να δημιουργήσουν διαφημίσεις που υποδύονται νόμιμες εταιρείες, η Google είπε ότι αποφεύγουν τον εντοπισμό δημιουργώντας χιλιάδες λογαριασμούς ταυτόχρονα και χρησιμοποιώντας χειραγώγηση κειμένου και απόκρυψη για να δείξουν σε αναθεωρητές και αυτοματοποιημένα συστήματα διαφορετικούς ιστότοπους από αυτούς που θα έβλεπε ένας τακτικός επισκέπτης.
Ωστόσο, η εταιρεία αυξάνει την κλίμακα των αυτοματοποιημένων συστημάτων της και των ανθρώπινων αναθεωρητών για να βοηθήσει στον εντοπισμό και την κατάργηση αυτών των κακόβουλων καμπανιών. Αυτές οι προσπάθειες τους επέτρεψαν να αφαιρέσουν 3,4 δισεκατομμύρια διαφημίσεις, να περιορίσουν πάνω από 5,7 δισεκατομμύρια διαφημίσεις και να αναστείλουν πάνω από 5,6 εκατομμύρια λογαριασμούς το 2023.
Πώς εγκαθίσταται το DeerStealer malware μέσω Google Authenticator
Όταν ένας χρήστης κάνει κλικ στις ψεύτικες διαφημίσεις του Google Authenticator, μεταφέρεται μέσω μιας σειράς ανακατευθύνσεων στη σελίδα προορισμού στη διεύθυνση “chromeweb-authenticators.com“, η οποία υποδύεται μια γνήσια πύλη Google. Κάνοντας κλικ στο κουμπί “Λήψη Authenticator“, ενεργοποιείται η λήψη ενός υπογεγραμμένου εκτελέσιμου αρχείου με το όνομα “Authenticator.exe” που φιλοξενείται στο GitHub.
Το αποθετήριο GitHub που φιλοξενεί το κακόβουλο λογισμικό ονομάζεται “authgg” και οι ιδιοκτήτες repo “authe-gogle“. Και τα δύο μοιάζουν με ονόματα που σχετίζονται με το θέμα της καμπάνιας.
Η έγκυρη υπογραφή δίνει στο αρχείο αξιοπιστία στα Windows, παρακάμπτοντας πιθανώς λύσεις ασφαλείας και επιτρέποντάς του να εκτελείται στη συσκευή του θύματος χωρίς προειδοποιήσεις.
Όταν εκτελεστεί η λήψη, θα ξεκινήσει το DeerStealer malware, το οποίο κλέβει διαπιστευτήρια, cookies και άλλες πληροφορίες που είναι αποθηκευμένες στο πρόγραμμα περιήγησής σας.
Συνιστάται στους χρήστες που θέλουν να κατεβάσουν λογισμικό να αποφεύγουν να κάνουν κλικ στα προωθούμενα αποτελέσματα στην Αναζήτηση Google, να χρησιμοποιούν πρόγραμμα αποκλεισμού διαφημίσεων ή να προσθέτουν σελιδοδείκτες στις διευθύνσεις URL των έργων λογισμικού που χρησιμοποιούν συνήθως.
Δείτε επίσης: Χάκερς στοχεύουν Πολωνικές Επιχειρήσεις με το Agent Tesla και το Formbook Malware
Πριν κάνετε λήψη ενός αρχείου, βεβαιωθείτε ότι η διεύθυνση URL στην οποία βρίσκεστε αντιστοιχεί στον επίσημο τομέα του έργου. Επίσης, σαρώνετε πάντα τα ληφθέντα αρχεία με ένα ενημερωμένο εργαλείο AV πριν από την εκτέλεση.
Πηγή: bleepingcomputer