Μέχρι νεωτέρας, σκεφτείτε καλά πριν χρησιμοποιήσετε το Google για λήψη λογισμικού

Η αναζήτηση στο Google για λήψεις δημοφιλούς λογισμικού ήταν πάντα παρακινδυνευμένη, αλλά τους τελευταίους μήνες έχει γίνει εντελώς επικίνδυνη, σύμφωνα με ερευνητές και μια συλλογή ερωτημάτων, σύμφωνα με την Ars Technica.
«Οι ερευνητές των απειλών έχουν συνηθίσει να βλέπουν μια μέτρια ροή κακόβουλης διαφήμισης μέσω του Google Ads», έγραψαν εθελοντές στο Spamhaus την Πέμπτη. "Ωστόσο, τις τελευταίες ημέρες, οι ερευνητές έγιναν μάρτυρες μιας τεράστιας αύξησης που επηρεάζει πολλές διάσημες μάρκες, με πολλαπλά κακόβουλα προγράμματα που χρησιμοποιούνται. Αυτό δεν είναι "ο κανόνας".

Η αύξηση προέρχεται από πολλές οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook και XLoader. Στο παρελθόν, αυτές οι οικογένειες βασίζονταν συνήθως σε ηλεκτρονικό "ψάρεμα" και κακόβουλο ανεπιθύμητο περιεχόμενο που συνέδεε έγγραφα του Microsoft Word με παγιδευμένες μακροεντολές. Τον περασμένο μήνα, το Google Ads έγινε το ιδανικό μέρος για τους εγκληματίες να διαδώσουν τα κακόβουλα προϊόντα τους που είναι μεταμφιεσμένα ως νόμιμες λήψεις υποδυόμενοι επωνυμίες όπως οι Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor και Thunderbird.

Την ίδια ημέρα που το Spamhaus δημοσίευσε την έκθεσή του, ερευνητές από την εταιρεία ασφαλείας Sentinel One τεκμηρίωσαν μια προηγμένη καμπάνια κακόβουλης διαφήμισης της Google που ωθεί πολλαπλούς κακόβουλους loaders. Ο Sentinel One έχει ονομάσει αυτούς τους φορτωτές MalVirt. Προς το παρόν, οι loaders MalVirt χρησιμοποιούνται για τη διανομή του κακόβουλου λογισμικού που είναι πιο γνωστό ως XLoader, διαθέσιμο τόσο για Windows όσο και για macOS. Το XLoader είναι διάδοχος του κακόβουλου λογισμικού γνωστό και ως Formbook. Οι δράστες απειλών χρησιμοποιούν το XLoader για να κλέψουν δεδομένα επαφών και άλλες ευαίσθητες πληροφορίες από μολυσμένες συσκευές. Οι φορτωτές MalVirt χρησιμοποιούν ασαφή εικονικοποίηση για να αποφύγουν την προστασία και την ανάλυση τελικού σημείου (end point protection and analysis). Για να συγκαλύψει την πραγματική κυκλοφορία C2 και να αποφύγει τις ανιχνεύσεις δικτύου, το MalVirt χρησιμοποιεί "φάρους" για να παραπλανήσει τους διακομιστές εντολών και ελέγχου που φιλοξενούνται σε παρόχους όπως οι Azure, Tucows, Choopa και Namecheap.
"Μέχρι η Google να βρεί νέες άμυνες, οι τομείς παραπλάνησης και άλλες τεχνικές συσκότισης παραμένουν ένας αποτελεσματικός τρόπος απόκρυψης των διακομιστών πραγματικού ελέγχου που χρησιμοποιούνται στις ανεξέλεγκτες καμπάνιες MalVirt και σε άλλες καμπάνιες κακόβουλης διαφήμισης", καταλήγει ο δικτυακός τόπος Ars Technica. "Είναι σαφές αυτή τη στιγμή ότι οι κακόβουλοι διαφημιστές έχουν κερδίσει το πάνω χέρι έναντι της σημαντικής ισχύος της Google."