Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы.
На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.
Новые мошеннические объявления были обнаружены специалистами , которые считают, что эта активность является частью замеченной ранее . Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.
На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport.
Вредоносная реклама
Нажав на такую рекламу, жертва проходила через ряд редиректов, которые обманывали защитные сканеры Google и отфильтровать краулеры, VPN, ботов и так далее, перенаправляя их на специальный сайт-ловушку, не содержащий ничего вредоносного.
Перенаправления
Пользователи же попадали на фальшивый новостной сайт, размещенный на одном из следующих доменов:
Фальшивка и настоящий сайт
Загрузка установщика CPU-Z с ресурса злоумышленников приводила к скачиванию файла MSI, содержащего вредоносный PowerShell-скрипт, в котором исследователи опознали загрузчика вредоносного ПО FakeBat (он же EugenLoader).
Этот загрузчик извлекал полезную нагрузку Redline с удаленного URL-адреса и запускал ее на компьютере жертвы.
Напомним, что Redline представляет собой мощный инструмент для кражи данных, способный воровать пароли, файлы cookie и историю из различных браузеров и приложений, а также конфиденциальные данные криптовалютных кошельков.
Как сообщили представители Google, в настоящее время все вредоносные объявления, связанные с этой кампанией, уже удалены, а в отношении связанных с ними аккаунтов «приняты соответствующие меры».
На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.
Новые мошеннические объявления были обнаружены специалистами , которые считают, что эта активность является частью замеченной ранее . Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.
На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport.
Вредоносная реклама
Нажав на такую рекламу, жертва проходила через ряд редиректов, которые обманывали защитные сканеры Google и отфильтровать краулеры, VPN, ботов и так далее, перенаправляя их на специальный сайт-ловушку, не содержащий ничего вредоносного.
Перенаправления
Пользователи же попадали на фальшивый новостной сайт, размещенный на одном из следующих доменов:
- argenferia[.]com;
- realvnc[.]pro;
- corporatecomf[.]online;
- cilrix-corp[.]pro;
- thecoopmodel[.]com;
- winscp-apps[.]online;
- wireshark-app[.]online;
- cilrix-corporate[.]online;
- workspace-app[.]online.
Фальшивка и настоящий сайт
Загрузка установщика CPU-Z с ресурса злоумышленников приводила к скачиванию файла MSI, содержащего вредоносный PowerShell-скрипт, в котором исследователи опознали загрузчика вредоносного ПО FakeBat (он же EugenLoader).
Этот загрузчик извлекал полезную нагрузку Redline с удаленного URL-адреса и запускал ее на компьютере жертвы.
Напомним, что Redline представляет собой мощный инструмент для кражи данных, способный воровать пароли, файлы cookie и историю из различных браузеров и приложений, а также конфиденциальные данные криптовалютных кошельков.
Как сообщили представители Google, в настоящее время все вредоносные объявления, связанные с этой кампанией, уже удалены, а в отношении связанных с ними аккаунтов «приняты соответствующие меры».
