WebTech Rodos: Πολλές εταιρείες κυβερνοασφάλειας ανέφεραν αυτή την εβδομάδα ότι οι διαφημίσεις αναζήτησης Google για κάτι που φαίνεται να είναι ένα Google authenticator οδηγούν στην πραγματικότητα σε λήψη κακόβουλου λογισμικού “DeerStealer”. Αυτή η εφαρμογή ταυτοποίησης δεν κατασκευάστηκε από την Google, αλλά από έναν άγνωστο απειλητικό παράγοντα που προσπαθεί να αποσπάσει τις προσωπικές πληροφορίες των θυμάτων.
Σε αυτή την περίπτωση, όμως, οι ρυθμίσεις διαφημίσεων της Google βοήθησαν να φαίνονται πιο πειστικές οι ψεύτικες διαφημίσεις. Η διεύθυνση URL για το κακόβουλο λογισμικό εμφανιζόταν ως “https://www.google.com”. Ο ιστότοπος της Google έδειχνε επίσης ότι ο διαφημιζόμενος που δημοσίευσε το κακόβουλο λογισμικό είχε την ταυτότητά του “επαληθευμένη από την Google”. Η τοποθεσία του διαφημιζόμενου έδειχνε ότι είχε την έδρα του στις ΗΠΑ και το απόσπασμα περιγραφής της ίδιας της διαφήμισης περιείχε το κείμενο: “Επίσημη ιστοσελίδα”.
Δυστυχώς, αυτό έχει ξανασυμβεί, όπως επισημαίνει η MalwareBytes με τις πειστικές -αλλά ψεύτικες και κακόβουλες- διαφημίσεις της Amazon που εμφανίστηκαν στο Google Search πέρυσι.
Δεν είναι σαφές πώς η Google επαληθεύει τις πληροφορίες των διαφημίσεών της, συμπεριλαμβανομένου του πραγματικού ονόματος του διαφημιζόμενου, της τοποθεσίας και της αυθεντικότητας του προϊόντος, πριν οι διαφημίσεις βγουν στη δημοσιότητα. Η Google λέει ότι χρησιμοποιεί ένα μείγμα από ελέγχους διαφημίσεων που διενεργούνται από ανθρώπους και κάποιους αυτοματοποιημένους ελέγχους για την επαλήθευση της ταυτότητας των διαφημιζόμενων. Στον ιστότοπο της Google αναφέρεται ότι όλες οι διαφημίσεις επανεξετάζονται, συνήθως εντός μίας εργάσιμης ημέρας. Με κάποιο τρόπο, αυτή η κακόβουλη διαφήμιση πέρασε τη διαδικασία αναθεώρησης διαφημίσεων της Google.
Κάνοντας κλικ στην ψεύτικη διαφήμιση του Google authenticator θα οδηγούσε σε πολλαπλές ανακατευθύνσεις, με τον τελικό προορισμό να οδηγεί τα θύματα σε μια ιστοσελίδα που παριστάνει την επίσημη σελίδα λήψης της Google. Το ίδιο το κακόβουλο λογισμικό μεταφορτώθηκε στο GitHub, το οποίο δεν επιτρέπει κακόβουλο λογισμικό για κακόβουλους σκοπούς, πιθανότατα σε μια προσπάθεια περαιτέρω αποφυγής εντοπισμού. Η επιθεώρηση του κώδικα από το MalwareBytes αποκαλύπτει ρωσικό κείμενο, γεγονός που υποδηλώνει ότι ο διανομέας του κακόβουλου λογισμικού μπορεί να είναι ρωσικής προέλευσης.
Η εταιρεία κυβερνοασφάλειας AnyRun βρήκε επίσης στοιχεία αυτού του κακόβουλου λογισμικού αυτή την εβδομάδα, με πάνω από δώδεκα ψεύτικα domains του Google Αuthenticator που συνδέονται με το κακόβουλο λογισμικό DeerStealer. Η εταιρεία συνέδεσε επίσης το κακόβουλο λογισμικό με έναν λογαριασμό bot στο Telegram που συνδέεται με ένα ρωσικό όνομα. Το bot του Telegram δημοσιεύει τα δεδομένα των θυμάτων και στα ρωσικά.
Μετά την αναφορά της MalwareBytes, η Google λέει ότι έχει αφαιρέσει τις εν λόγω κακόβουλες διαφημίσεις. “Απαγορεύουμε τις διαφημίσεις που προσπαθούν να παρακάμψουν την επιβολή μας, μεταμφιέζοντας την ταυτότητα του διαφημιζόμενου για να εξαπατήσουν τους χρήστες και να διανείμουν κακόβουλο λογισμικό”, αναφέρει η Google στο PCMag σε δήλωσή της. “Όταν εντοπίζουμε διαφημίσεις που παραβιάζουν τις πολιτικές μας, τις αφαιρούμε και αναστέλλουμε τον σχετικό λογαριασμό του διαφημιζόμενου το συντομότερο δυνατό, όπως κάναμε σε αυτή την περίπτωση”.
Η Google λέει ότι αυτοί οι επιτιθέμενοι με κακόβουλο λογισμικό δημιουργούν χιλιάδες λογαριασμούς και αναπτύσσουν διάφορες τεχνικές χειραγώγησης για να αποφύγουν τον εντοπισμό. Η Google δήλωσε επίσης ότι αφαίρεσε πάνω από 3,4 δισεκατομμύρια διαφημίσεις και ανέστειλε 12,7 εκατομμύρια λογαριασμούς διαφημιζόμενων μόνο πέρυσι. Τώρα, εντείνει τις προσπάθειές της για την καταπολέμηση αυτού που συχνά αναφέρεται ως “κακόβουλη διαφήμιση”, η οποία βρίσκεται σε άνοδο.
Δυστυχώς, οι επιτιθέμενοι που εμφανίζονται ως νόμιμες εταιρείες, όπως η Google, η Amazon ή άλλες γνωστές επιχειρήσεις, παραμένουν μια συνεχής ανησυχία για την ασφάλεια στον κυβερνοχώρο. Η εκτέλεση κακόβουλου λογισμικού συχνά απαιτεί την εξαπάτηση του χρήστη ώστε να εμπιστευτεί έναν ιστότοπο και να κατεβάσει ένα κακόβουλο αρχείο, όπως το Android Trojan που παριστάνει την ενημέρωση του Google Chrome που αποκαλύφθηκε νωρίτερα φέτος.
Με την πάροδο των ετών, έχουν εμφανιστεί πολλές κακόβουλες εφαρμογές στο Play Store της Google. Σε πρόσφατη έρευνα επισημάνθηκαν πάνω από 90 εφαρμογές Android ως εφαρμογές που περιείχαν κακόβουλο λογισμικό, ορισμένες από τις οποίες ήταν εφαρμογές ανάγνωσης αρχείων PDF ή κωδικών QR.
Φυσικά, υπάρχουν και νόμιμες εφαρμογές ταυτοποίησης. Απλώς προσέξτε να ελέγχετε πάντα δύο φορές τη διεύθυνση URL του ιστότοπου πριν κατεβάσετε οτιδήποτε στο διαδίκτυο, αποφύγετε συνδέσμους σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου ή κείμενα και εξετάστε το ενδεχόμενο εγκατάστασης λογισμικού προστασίας από κακόβουλο λογισμικό ή μιας επέκτασης του προγράμματος περιήγησης στο διαδίκτυο που αποκλείει τις διαφημίσεις και τις κακόβουλες λήψεις.
πηγή: pcmag.com