O nouă campanie de malvertising prin Google Ads, coincizând cu lansarea browserului web Arc pentru Windows, a păcălit oamenii să descarce instalatori troianizați care îi infectează cu programe malware.
Browserul Arc este un nou browser web cu un design inovator al interfeței utilizatorului, care îl diferențiază de browserele tradiționale. Lansat în iulie 2023 pentru macOS și primind recenzii elogioase din partea publicațiilor de tehnologie și a utilizatorilor, lansarea recentă pe Windows era foarte așteptată.
Cybercriminalii vizează lansarea Arc pentru Windows
Conform unui raport al Malwarebytes, cybercriminalii s-au pregătit pentru lansarea produsului, creând reclame malițioase pe Google Search pentru a atrage utilizatorii care căutau să descarce noul browser web.
Platforma de publicitate a Google are o problemă semnificativă care permite actorilor rău intenționați să plaseze reclame care afișează URL-uri legitime, lucru care a fost abuzat pentru a viza Amazon, Whales Market, WebEx și chiar propria platformă video a Google, YouTube.
Malwarebytes a descoperit rezultate promovate pentru termeni de căutare precum „arc installer” și „arc browser windows” care afișau URL-ul corect pentru Arc. Cu toate acestea, după ce se făcea clic pe reclamă, utilizatorii erau redirecționați către domenii asemănătoare care vizual semănau cu site-ul autentic. Dacă se făcea clic pe butonul „Download”, un fișier de instalare troianizat era descărcat de pe platforma de găzduire MEGA, care ulterior descărca o sarcină malițioasă suplimentară numită ‘bootstrap.exe’ dintr-o resursă externă.
Fișierul de instalare extrage un fișier PNG care conține cod malițios care compilează și lansează sarcina finală, ‘JRWeb.exe’, pe discul victimei.
Malwarebytes a observat, de asemenea, un lanț de infecție separat care implică utilizarea unui executabil Python pentru a injecta cod în msbuild.exe, care interoghează un site extern pentru a prelua comenzi pentru execuție.
Analiștii sugerează că sarcina finală în aceste atacuri este un furător de informații, deși acest lucru nu a fost încă confirmat.
Deoarece browserul Arc se instalează conform așteptărilor pe calculatorul victimei și fișierele malițioase rulează în fundal, este puțin probabil ca victima să realizeze că a fost infectată cu malware.
Actorii rău intenționați care capitalizează pe entuziasmul din jurul lansării de noi software/jocuri nu este un fenomen nou, dar continuă să fie o metodă eficientă de distribuire a malware-ului.
Utilizatorii care caută să descarce software ar trebui să evite toate rezultatele promovate pe Google Search, să folosească ad blockers care ascund aceste rezultate și să adauge la favorite site-urile oficiale ale proiectelor pentru utilizare viitoare.
În plus, verificați întotdeauna autenticitatea domeniilor de pe care descărcați instalatoarele și scanați întotdeauna fișierele descărcate cu un instrument antivirus actualizat înainte de a le executa.
