過去数週間以来、主要なサイバーセキュリティ研究者は、Googleの検索結果が、デバイスにマルウェアをインストールするのを待っている悪意のある広告の完全な地雷原であることを明らかにしました。
これらの広告は、Lightshot、Rufus、7-Zip、WinRAR、VLC、LibreOffice、FileZillaなどの人気のあるソフトウェアプログラムの変装の背後に隠れています。これがどのように機能するかは簡単で、疑いを持たないユーザーが広告をクリックすると、元のレプリカである偽のWebサイトに移動します。ただし、本物のように見えますが、ユーザーがリンクをダウンロードすると、ハッカーによって実行されているキャンペーンに依存するマルウェアをデバイスにインストールするMSIファイルが配置されます。
現在のところ、これらのキャンペーンによってダウンロードされたマルウェアには、RedLine Stealer、Gozi / Ursnif、Vidarが含まれ、Cobalt StrikeとRansomwareもこれに関与している可能性があります。この方法を使用しているキャンペーンはインターネット上にたくさんありますが、インフラストラクチャが以前はランサムウェア攻撃にリンクされていたため、2つは他のキャンペーンから際立っています。
昨年2月、Mandiantは、SEOポイズニングを使用して人気のあるふりをしているサイトをランク付けするマルウェア配布キャンペーンを明らかにしました。その要点は、ユーザーがこれらのWebサイトから何らかのリンクをダウンロードするたびに、BatLoaderと呼ばれる新しいマルウェアダウンローダーをデバイスに取り込み、感染が人体に侵入するのと同じように多段階の感染プロセスを開始することでした。このマルウェアは、ハッカーにターゲットのネットワークへのアクセスを許可します。