A rosszindulatú hirdetési kampányok évek óta célozzák a Google Search platformját. A támadók olyan legitim domaineknek tűnő hirdetéseket hoznak létre, amelyek bizalmat keltenek a felhasználókban. A Malwarebytes fedezte fel azt az új rosszindulatú kampányt, mely a Google Authenticator hirdetését jeleníti meg, amikor a felhasználók a szoftverre keresnek rá a Google keresőben. A hirdetés azért tűnik hitelesnek, mert kattintási URL-ként “google[.]com” és “https://www[.]google[.]com” szerepel benne, mely nem engedélyezett amennyiben harmadik fél hozza létre azt.
Hamis Google hitelesítő webhelyek
A hamis Google Authenticator hirdetésekre kattintva a felhasználó számos átirányításon keresztül jut el a “chromeweb-authenticators[.]com” céloldalra, amely valódi Google portálnak tűnik. Az ANY.RUN malware elemző cég szerint a kampányhoz tartoznak a következő hasonló nevű domainek is: authenticcator-descktop[.] com, chromstore-authentificator[.] com, és authentificator-gogle[.] com. Ezeken a hamis weboldalakon a “Download Authenticator” gombra kattintva elindítja a GitHubon tárolt “Authenticator[.]exe” nevű digitálisan aláírt fájl letöltését. A GitHub adattár neve “authgg”, a repo tulajdonosai pedig “authe-gogle” néven szerepelnek.
A hirdetések megtévesztő módon a "google.com" domént és "https://www.google.com" URL-t jelenítik meg kattintható linkként, ami hamis biztonságérzetet kelt a felhasználókban. Ez a technika, az úgynevezett URL-csere, már korábban is megjelent más malvertising kampányokban, mint például a KeePass, Arc böngéésző, YouTube, és az Amazon esetében.
Az érvényes aláírás hitelesíti a fájlt a Windows rendszeren, potenciálisan megkerüli a biztonsági megoldásokat, majd figyelmeztetés nélkül lefut az áldozat eszközén. A letöltés után elindul a DeerStealer malware, ami megszerzi a hitelesítő adatokat, a cookie-kat és a webböngészőben tárolt egyéb információkat.
Ha le szeretnék tölteni a Google Authenticator szoftvert azt javasoljuk, hogy ne kattintsanak a Google Search kiemelt találataira, használjanak hirdetésblokkolót vagy vegyék fel azoknak a programoknak az URL-jeit a könyvjelzők közé, amelyeket gyakran használnak. A fájlok letöltése előtt győződjünk meg arról, hogy az URL cím megfelel a hivatalos domainnek. Ezenkívül a futtatás előtt mindig ellenőrizzük a letöltött fájlokat egy naprakész vírusírtó eszközzel.
A Malwarebytes által felfedezett kampány rávilágít arra, hogy a Google hirdetési platformja sebezhető az ilyen típusú támadásokkal szemben. Bár a Google értesüléseket követően azonnal blokkolta a hamis hirdetőket, a probléma gyökere mélyebbre nyúlik. A támadók gyakran több ezer fiókot hoznak létre egyszerre, és a szövegmanipuláció és URL-csere technikákat használják, hogy megtévesszék a hirdetéseket ellenőrző embereket és automatizált rendszereket.
A Google hangsúlyozta, hogy folyamatosan növelik az automatizált rendszerek és az emberi ellenőrzők kapacitását a rosszindulatú kampányok észlelésére és eltávolítására. Ennek eredményeként 2023-ban a cég 3,4 milliárd hirdetést távolított el, több mint 5,7 milliárd hirdetést korlátozott, és több mint 5,6 millió hirdetési fiókot függesztett fel.
A kártékony weboldalak és fájlok
A hamis Google Authenticator hirdetésekre kattintva a felhasználókat több átirányításon keresztül egy "chromeweb-authenticators.com" nevű weboldalra vezetik, amely egy valódi Google portált imitál. A felhasználók, akik a "Download Authenticator" gombra kattintanak, egy aláírt futtatható fájlt, az "Authenticator.exe"-t töltik le, amely a DeerStealer kártevőt tartalmazza.
A kártevőt tároló GitHub-tárhely neve "authgg", a tulajdonosa pedig "authe-gogle", mindkettő a kampány témájához hasonló nevekkel rendelkezik, tovább erősítve a megtévesztést.
Hogyan védhetjük meg magunkat?
Annak érdekében, hogy elkerüljük az ilyen típusú kiberfenyegetéseket, fontos, hogy:
- Mindig ellenőrizzük a hirdetések hitelességét: Csak megbízható forrásból töltsünk le alkalmazásokat és szoftvereket, lehetőleg közvetlenül a hivatalos weboldalakról.
- Kerüljük a kattintást ismeretlen hirdetésekre: Különösen gyanúsak lehetnek azok a hirdetések, amelyek hivatalosnak tűnő URL-eket jelenítenek meg.
- Használjunk megbízható biztonsági szoftvereket: Ezek segíthetnek észlelni és blokkolni a rosszindulatú hirdetéseket és letöltéseket.
