- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Мы уже писали, что вредоносные программы очень хорошо распространяются в рекламных сетях, в этой-же статье предлагаю ознакомится, как это происходит на практике.)
15 января пользователь NFT God
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
у себя в Twitter печальную историю о том, как у него украли сбережения в криптовалюте. Он также временно потерял доступ к своим учетным записям в соцсетях, каналу в Discord и другим ресурсам. Причиной стала попытка загрузить софт для скринкастинга Open Broadcaster Sofware. Вместо настоящего сайта программы NFT God кликнул на рекламу и оттуда загрузил вредоносное ПО. Новость с описанием событий
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
на Хабре, а по следам инцидента издание Bleeping Computer
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
список популярного ПО, в поисках которого вы можете столкнуться с трояном.
Инцидент этот далеко не первый. Проблема рекламной сети Google Ads по-прежнему заключается в плохой модерации объявлений и невероятной схожести реальных результатов поиска с рекламными вставками. В результате пользователи имеют дело с сотнями вредоносных сайтов, имитирующих под официальные ресурсы для загрузки множества распространенных и, как правило, бесплатных приложений.
Реклама, на которую кликнул NFT God, выглядела примерно так:
Пользователь скачал исполняемый файл, запустил его и не заметил ничего подозрительного. Однако через несколько часов уже были взломаны две его учетки в Twitter, в которых появились мошеннические сообщения, связанные с криптовалютами. Пострадавший узнал об этом из сообщений от знакомых. Дальше выяснилось, что также был похищен доступ к каналу Discord. С сервиса Substack по базе из 16 тысяч подписчиков от имени NFT God рассылались мошеннические письма. Наконец, из криптокошелька пользователя преступники украли «значительные» средства. NFT God использовал аппаратный криптокошелек Ledger, но не смог настроить его так, чтобы ключи для работы с криптокошельком были недоступны, когда брелок отключен. Вместо этого Ledger был настроен в режиме
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, то есть вся информация по сути хранилась на компьютере и была похищена злоумышленниками. Исследование издания Bleeping Computer показывает множество других примеров вредоносных программ, распространяющихся через рекламные объявления под видом легитимного ПО. Например, так выглядит реклама вредоносного сайта, предлагающего скачать утилиту для создания загрузочных флешек Rufus:
Еще одно объявление загружает вредоносную программу под видом редактора Notepad++. Здесь используется URL, максимально похожий на настоящий:
Другие мошенники, впрочем, даже не пытаются найти похожее доменное имя. В этом примере программа для кражи личных данных Redline распространяется под видом утилиты CCleaner:
Во всех случаях из-за особенностей рекламной системы Google вредоносные программы оказывались в списке результатов выше, чем легитимные веб-сайты. В день публикации статьи Bleeping Computer вредоносное ПО рекламировалось в результатах поиска по следующим названиям популярных программ: 7-Zip, Blender 3D, Capcut, CCleaner, Notepad++, OBS, Rufus, VirtualBox, VLC Media Player, WinRAR, Putty. Помимо этого, также упоминался аудиоредактор Audacity. На запрос от Bleeping Computer представители Google предоставили стандартный ответ: мы относимся к таким инцидентам серьезно, активно ищем нарушителей наших правил. Увы, это не мешает подобным инцидентам происходить с пугающей регулярностью. Все предоставленные Google примеры объявлений были, конечно же, заблокированы.
Это тот самый случай, когда блокировщик рекламы не только повышает комфорт при серфинге Интернета, но и обеспечивает некоторую дополнительную безопасность. Но именно такие инциденты подтверждают необходимость использования защитного ПО, на случай если вас подведет бдительность. Особенно опасны подобные атаки для неопытных пользователей (к каким относит себя и NFT God), не всегда способных отличить рекламу от настоящего поискового результата. Но дело не только в поиске: сценарий загрузки программ остается важной целью киберпреступников, и способов атаки здесь множество. Это и домены-клоны с опечатками, на которые можно попасть, минуя поисковую систему. Или даже метод распространения вредоносных программ через ссылки в описании видеороликов на YouTube, описанный
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Этот способ отчасти эксплуатирует свойства поисковой системы Google, отдающей приоритет в результатах видеороликам.