- Įsilaužėliai per „Google“ paieškos skelbimus platina kenkėjišką programinę įrangą, skirtą „VLC“, „7-Zip“, „CCleaner“ ieškantiems vartotojams
- NFT fondai ir kriptovaliutos lėšos pasisavintos iš virtualios piniginės
- Kenkėjiškų „Google Ads“ skelbimų antplūdis paieškos rezultatuose
- Skelbimų blokavimo programos galėtų padidinti apsaugą
Įsilaužėliai per „Google“ paieškos skelbimus platina kenkėjišką programinę įrangą, skirtą „VLC“, „7-Zip“, „CCleaner“ ieškantiems vartotojams
Įsilaužėliai kuria netikras populiarios nemokamos ir atvirojo kodo programinės įrangos svetaines, kad per „Google“ paieškos rezultatuose pateikiamus skelbimus skatintų parsisiųsti kenkėjiškų programų[1]. Programomis susidomėję vartotojai nenutuokia, kad parsisiunčia ir įsirašo kenkėjiškas ir pavojingas programas kompiuteriuose.
Bent vienas žinomas kriptovaliutų naudotojas tapo šios kampanijos auka, teigdamas, kad schema leido įsilaužėliams pavogti visą jo skaitmeninį kriptovaliutų turtą ir kartu įgauti profesinių ir asmeninių paskyrų kontrolę. Savaitgalį buvo pranešta, kad apgautas buvo žymus kriptovaliutų influenceris.
Aleksą, geriau žinomą kaip internetinį personažą NFT God, kažkas apgavo, kai buvo įsilaužta į jo paskyras po to, kai paieškos rezultatuose neapgalvodamas jis paspaudė ten, kur nereikia. Jis paleido netikrą vykdomąją programą, skirtą „Open Broadcaster Software“ (OBS) vaizdo įrašymo ir tiesioginės transliacijos programinei įrangai, kurią parsisiuntė iš svetainės, kurią pasiekė paspausdamas ant „Google“ reklamos[2].
Pasak jo, nieko nenutiko paspaudus ant parsiųsto EXE failo, kai programos įrašymas turėjo prasidėti. Tačiau po kelių valandų draugai jį įspėjo, kad į jo „Twitter “ paskyrą buvo įsilaužta. Aleksui nežinant, tai greičiausiai buvo informaciją vagianti kenkėjiška programa, kuri pavogė anksčiau išsaugotus naršyklės slaptažodžius, slapukus, ir kriptovaliutų piniginės prisijungimus. Vėliau nusiuntė juos užpuolikui, kuris pasinaudojo tuo įsilaužimui.
NFT fondai ir kriptovaliutos lėšos pasisavintos iš virtualios piniginės
Netrukus po niekuo neįtartino parsisiuntimo ir po pranešimų iš draugų bei suvokimo, kad paskyros socialiniuose tinkluose pažeistos, Aleksas sužinojo, kad buvo pažeista ir jo tiesioginė paskyra „OpenSea NFT “ prekyvietėje. Tada jis pamatė, kad su paskyra sujungta kito savininko kriptovaliutos piniginė bei kitas asmuo nurodytas kaip savininkas. Nuomonės formuotojas neteko prieigos prie savo paskyros.
„Tą akimirką supratau, kad viskas dingo. Viskas. Visos mano kriptovaliutos ir NFT išplėštos iš manęs“, – nukentėjusys rašė tviteryje[3].
Netrukus Aleksas sužinojo, kad ir kitos paskyros platformose buvo užgrobtos ir, kad kitas kriptovaliutų pinigines ištiko toks pat likimas ir jas kontroliavo įsilaužėliai jam jau susigriebus ir pasitikrinus.
Nors tai nėra nauja gudrybė, panašu, kad grėsmių sukėlėjai ją naudoja vis dažniau. Praėjusių metų spalį buvo pranešta apie masinę kampaniją, kurios metu buvo remiamasi daugiau nei 200 typosquatting domenų, skirtų daugiau nei dviem dešimtims prekių ženklų, siekiant suklaidinti naudotojus.
Tuo metu platinimo būdas buvo nežinomas, tačiau gruodžio mėnesį kibernetinio saugumo bendrovių pranešimuose atskleista, kad įsilaužėliai piktnaudžiavo „Google Ads“ platforma[4], kad paieškos rezultatuose paskleistų kenkėjiškus atsisiuntimus. Neseniai buvo paviešinta dar viena kampanija, platinanti žinomus informacijos vogimui naudojamus virusus pasitelkdama reklamas ir suklastotus paieškos rezultatus.
Kenkėjiškų „Google Ads“ skelbimų antplūdis paieškos rezultatuose
Programa, kurią parisiuntė Aleksas yra viena iš ilgo programinės įrangos, kuria apsimeta grėsmių sukėlėjai, kad „Google Ads“ paieškos rezultatuose prastumtų kenkėjiškus atsisiuntimus, sąrašo. Populiarios ir dažnai ieškomos aplikacijos pritraukia dėmesį, o pirmieji rezultatai paieškoje būna reklama su kenkėjišku siuntiniu.
Tai yra programos, skirtos failų redagavimui, nemokamai įkraunamų USB atmintinių kūrimo programos, kompiuterio optimizavimo įrankiai, net antivirusinės aplikacijos. Grėsmių duomenims ir fondams platintojai užregistravo domenus, panašius į oficialius, ir nukopijavo pagrindinę teisėtos svetainės dalį iki atsisiuntimo skyriaus.
Vienu atveju jie naudoja bendrąjį aukščiausiojo lygio domeną, greičiausiai siekdami sudominti auką ir pritraukti žadėdami platesnį programos funkcijų rinkinį. Kenkėjiška programos versija dažnai tiesiog atsisiunčiama per failų perkėlimo paslaugą. Kadangi tai yra archyvo failų paketas, daugelis antivirusinių variklių jos neaptinka kaip grėsmės.
Tyrėjai taip pat rado svetainę, pilną netikrų programinės įrangos atsisiuntimų, platinamų tik per „Google Ads“ paieškos rezultatus. Nežinia kiek ir kokių virusų per šias sveitaines buvo ar yr aplatinama, bet pati svetainė blokuoja paieškos sistemų turinio indeksavimą ir atsisiuntimus reklamuoja tik per reklamas paieškos rezultatuose, yra rimtas kenkėjiškos veiklos požymis.
Tarp svetainėje aptiktų programinės įrangos vienetų yra failų suspaudimo įrankiai, plačiai naudojamas medijos grotuvas VLC, populiarūs valymo ir optimizavimo įrankiai. Panašu, kad įsilaužėliai stengėsi pervilioti peržiūras norint pasiekti teisėtą kūrėją ir taip pasiekti, kad jų skelbimas atsidurtų aukščiausioje pozicijoje.
Ši kenkėjiška programinė įranga, kurią platina tokie puslapiai ir kampanijos renka naršyklės jautrius duomenis (prisijungimo duomenis, kredito kortelės, automatinio užbaigimo informaciją), duomenis apie sistemą (vartotojo vardą, vietą, aparatinę įrangą, turimą saugumo programinę įrangą) ir kriptovaliutą iš vartotojams priklausančių virtualių piniginių.
Tyrėjai taip pat susidūrė su informacijos vagimis, kurie neseniai buvo aptikti panašiose kampanijose. Programų pavojingumas gali būti skirtingas, nes duagelis jų orientuojasi į slaptos informacijos rinkimą iš naršyklių ir taip pat gali vogti kriptovaliutų piniginių prisijungimus, bankinę informaciją, sistemos failus. Dažnai tokie duomenys naudojami antrinėse virusų atakose.
Skelbimų blokavimo programos galėtų padidinti apsaugą
Rėmėjų skelbimų naudojimą paieškos rezultatuose kaip kenkėjiškų programų pristatymo kanalą FTB pažymėjo praėjusiais metais prieš Kalėdas paskelbtame perspėjime.
Agentūra įspėjo, kad šie skelbimai rodomi pačiame paieškos rezultatų viršuje, o skirtumas tarp reklamos ir tikrojo paieškos rezultato yra minimalus, be to, juose pateikiama nuoroda į svetainę, kuri atrodo identiška oficialiam apsimestinės įmonės tinklalapiui.
Dėl to kibernetiniai nusikaltėliai turi daugiau galimybių išplatinti kenkėjiškas programas didesniam nieko neįtariančių naudotojų ratui. Visada patartina patikrinti atsisiuntimo šaltinio URL. Kartu su reklamos blokatoriaus įskiepio naršyklėje naudojimu apsaugos nuo tokio tipo grėsmių lygis turėtų smarkiai sumažėti.
Daugumoje žiniatinklio naršyklių galima naudoti reklamos blokavimo priemones kaip plėtinius, kurie, kaip sako jų pavadinimas, neleidžia įkelti ir rodyti reklamos žiniatinklio puslapyje, įskaitant paieškos rezultatus. Taip išvengiama galimybės paspausti ant kažko netinkamo, nukreipiančio į pavpjingus puslapius.
Skelbimų blokavimo programos ne tik padeda patogiau naudotis internetu, bet ir užtikrina privatumą, nes neleidžia reklamoje esantiems sekimo slapukams rinkti duomenų apie jūsų naršymo įpročius.