Χάκερ χρησιμοποιούν τα Google Ads tracking templates ως loophole για να δημιουργήσουν πειστικές διαφημίσεις αναζήτησης λογισμικού Webex που ανακατευθύνουν τους χρήστες σε ιστότοπους που διανέμουν το malware BatLoader.
Το Webex είναι ένα πακέτο για βιντεοδιασκέψεις και επικοινωνία με πελάτες που αποτελεί μέρος της σουίτας προϊόντων συνεργασίας της Cisco και χρησιμοποιείται από επιχειρήσεις σε όλο τον κόσμο.
Σύμφωνα με την αναφορά της Malwarebytes, η εκστρατεία κακόβουλης διαφήμισης ήταν ενεργή στην αναζήτηση της Google για μια εβδομάδα, με τους δράστες να φαίνεται να προέρχονται από το Μεξικό.
Δείτε επίσης: Οι αρχές προειδοποιούν τον τομέα της Υγείας για το Akira ransomware
Η εταιρεία Malwarebytes αναφέρει ότι μια κακόβουλη διαφήμιση της Google παριστάνει την επίσημη πύλη λήψης του Webex, κατατάσσοντας ως πρώτη θέση στα αποτελέσματα αναζήτησης της Google για τον όρο “webex”.
Δείτε επίσης: Greater Manchester Police: Δεδομένα αστυνομικών παραβιάστηκαν
Αυτό που καθιστά τη διαφήμιση αξιόπιστη είναι η χρήση του πραγματικού λογότυπου του Webex και η εμφάνιση του αυθεντικού URL, “webex.com”, ως προορισμός κλικ. Αυτά τα στοιχεία της διαφήμισης την καθιστούν αξιόπιστη και αδιακρίτως παρόμοια με μια πραγματική διαφήμιση από την Cisco.
Οι χάκερ μπορούν να εκμεταλλευτούν ένα κενό στο πλαίσιο παρακολούθησης της πλατφόρμας Google Ad που τους επιτρέπει να ανακατευθύνουν όπου θέλουν, τηρώντας παράλληλα την πολιτική της Google.
Συγκεκριμένα, η Google αναφέρει ότι οι διαφημιζόμενοι μπορούν να χρησιμοποιούν πρότυπα παρακολούθησης με παραμέτρους URL που ορίζουν ένα διαδικασία κατασκευής “τελικού URL” με βάση τις συλλεγμένες πληροφορίες του χρήστη σχετικά με τη συσκευή του, την τοποθεσία και άλλα μετρήσιμα στοιχεία σχετικά με τις διαδραστικές διαφημίσεις.
Η πολιτική απαιτεί ότι το URL προβολής μιας διαφήμισης και το τελικό URL πρέπει να ανήκουν στο ίδιο domain. Ωστόσο, τίποτα δεν εμποδίζει το πρότυπο παρακολούθησης να ανακατευθύνει τους χρήστες σε ιστότοπο εκτός του καθορισμένου domain.
Δείτε επίσης: Ransomware: Ο Λευκός Οίκος παροτρύνει δεκάδες χώρες να δηλώσουν τη δέσμευσή τους να μην πληρώνουν λύτρα
Σε αυτήν την περίπτωση, οι χάκερ χρησιμοποίησαν μια διεύθυνση URL Firebase (“trixwe.page.link”) ως πρότυπο παρακολούθησης, με τελικό URL https://www.webex.com.
Ωστόσο, εάν γίνει κλικ στη διαφήμιση, ο επισκέπτης ανακατευθύνεται στο “trixwe.page[.]link”, το οποίο φιλτράρει τις επισκέψεις που φαίνεται να προέρχονται από ερευνητές και αυτοματοποιημένους crawlers.
Εάν ο χρήστης είναι αυτός που επιθυμούν να στοχεύσουν, θα τον ανακατευθύνει στον ιστότοπο “monoo3at[.]com,” όπου θα πραγματοποιηθούν περαιτέρω ελέγχοι για να καθοριστεί εάν είναι πιθανοί θύματα ή ερευνητές που χρησιμοποιούν ένα sandbox.
Εάν ο επισκέπτης είναι ένας από αυτούς που επιθυμούν να στοχεύσουν, θα ανακατευθυνθεί σε έναν ιστότοπο που παρουσιάζει κακόβουλο λογισμικό στη διεύθυνση “webexadvertisingoffer[.]com”, ενώ όλοι οι άλλοι θα ανακατευθυνθούν στον νόμιμο ιστότοπο “webex.com” της Cisco.
Ψεύτικος Webex installer
Εάν οι επισκέπτες της πλαστής σελίδας του Webex κάνουν κλικ στα κουμπιά λήψης, λαμβάνουν έναν εγκαταστάτη MSI που δημιουργεί αρκετές διεργασίες και εκτελεί εντολές PowerShell για την εγκατάσταση του κακόβουλου λογισμικού BatLoader.
Το συγκεκριμένο κακόβουλο λογισμικό θα ανακτήσει, αποκρυπτογραφήσει και εκτελέσει ένα ακόμα DanaBot malware payload.
Το DanaBot είναι ένα ευέλικτο banking trojan που κυκλοφορεί από το 2018, με τη δυνατότητα να κλέβει κωδικούς πρόσβασης, να τραβάει screenshot, να φορτώνει modules ransomware, να μεταμορφώνει την κακόβουλη κίνηση C2 και να παρέχει άμεση πρόσβαση σε παραβιασμένους υπολογιστές μέσω HVNC.
Όσοι έχουν μολυνθεί με το DanaBot θα έχουν τα διαπιστευτήριά τους κλαπεί και αποσταλεί στους επιτιθέμενους, οι οποίοι είτε θα τα χρησιμοποιήσουν για περαιτέρω επιθέσεις είτε θα τα πουλήσουν σε άλλους εισβολείς.
Όταν αναζητάτε λογισμικό, είναι καλή πρακτική να αποφεύγετε πάντα τα προωθούμενα αποτελέσματα στην αναζήτηση της Google και να κατεβάζετε μόνο από τον ίδιο τον προγραμματιστή του λογισμικού ή από έναν γνωστό και αξιόπιστο ιστότοπο.
Πηγή πληροφοριών: bleepingcomputer.com
