През последните години рекламите в интернет се превърнаха не само в средство за печелене на пари, но и в инструмент за киберпрестъпници. Става дума за т.нар. „malvertising“ – зловредни реклами, които изглеждат напълно легитимни, но отвеждат потребителите към сайтове, контролирани от хакери.
Наскоро изследователи по киберсигурност разкриха нова и особено хитра кампания от този тип. Тя използва платени реклами в Google, за да заблуди хората, търсещи популярни програми като GitHub Desktop. На пръв поглед линковете изглеждат напълно безопасни – водят към страници в GitHub. Но всъщност зад тях стои умела измама.
Как работи атаката
Хакерите използват истинска структура на GitHub commit, но вмъкват променени линкове, които пренасочват жертвата към фалшив сайт – например домейн, имитиращ истинския („gitpage[.]app“).
Когато потребителят изтегли „програмата“, той всъщност получава зловреден инсталатор с размер над 128 MB. Този обем не е случаен – той затруднява системите за автоматичен анализ на вируси, които обикновено отхвърлят по-големи файлове.
Освен това, зловредният код използва изключително интересен трик, наречен GPUGate. Той проверява дали на устройството има истинска видеокарта (GPU) и дали драйверите ѝ са инсталирани правилно. Ако няма – програмата не стартира. Това обърква специалистите по сигурност, тъй като техните тестови среди често работят във виртуални машини без реален GPU. Така вирусът остава „невидим“ за стандартния анализ.
Какво прави вирусът след стартиране
След успешното инсталиране зловредният софтуер изпълнява сложна верига от скриптове:
Крайната цел е кражба на информация и инсталиране на вторични зловредни програми, като същевременно атаката остава трудно засичана от антивирусните решения.
Изследователите откриват и руски коментари в кода на PowerShell скриптовете, което подсказва, че създателите на вируса са с добра руска езикова подготовка.
Кръстосана атака – Windows и macOS
Любопитен момент е, че домейнът на атакуващите се използва и като източник за друг зловреден софтуер – Atomic macOS Stealer (AMOS). Това означава, че кампанията е насочена не само към Windows потребителите, но и към тези, които работят с macOS.
Подобни кампании в последно време
Разкритията съвпадат с друга вълна от атаки, при която е използвано компрометирано копие на ConnectWise ScreenConnect – софтуер за отдалечен достъп. Там хакерите внедряват различни видове „троянски коне“, които позволяват дистанционен контрол върху заразените компютри.
Какво означава това за обикновения потребител
Тази нова кампания ни напомня колко важно е да бъдем внимателни, дори когато търсим и изтегляме уж популярни и надеждни програми. Основните препоръки са:
И накратко – хакерите стават все по-креативни, комбинирайки познати методи с нови техники като GPUGate. Затова добрата дигитална хигиена и вниманието към детайла са най-доброто ни оръжие срещу подобни заплахи.
