Rosszindulatú reklámkampányok a Notepad-on
Az elmúlt hetekben a Google kereséseken keresztüli rosszindulatú hirdetési kampányok számának növekedését tapasztalta a Malwarebytes. A nyomon követett fenyegetés szereplői közül több javított technikáján, hogy elkerülje az észlelést a szállítási lánc során. A Malwarebytes szerint ennek valós hatása lesz a vállalati felhasználók körében, akik rosszindulatú hirdetések révén kompromittálódnak, ami végül rosszindulatú programok és zsarolóprogramok elterjedéséhez vezet.
A Malwarebytes egy rosszindulatú reklámkampányt vizsgált meg, amely legalább hónapokig teljes egészében a radar alatt maradt. A Notepad++ rosszindulatú reklámkampány olyan URL-eket népszerűsít, amelyek nyilvánvalóan nem kapcsolódnak a szoftverprojekthez, mégis félrevezető címeket használnak a Google keresési eredményeiben megjelenő hirdetésekben. Miután az áldozatok a hirdetésre kattintanak, egy átirányítási lépés ellenőrzi az IP-címüket, hogy kiszűrje a valószínűleg feltérképező robotokat, VPN-eket. Amikor a látogatók ezekre a linkekre kattintanak, egy második rendszer-ujjlenyomat-ellenőrzést hajt végre egy JavaScript-kódrészlet annak ellenőrzésére, hogy nincs-e rendellenesség vagy arra utaló jel, hogy a látogató homokozót használ. A megfelelő célpontként megjelölt áldozatok ezután egy HTA-szkriptet kapnak, amelyhez egyedi azonosítót rendelnek, amely valószínűleg lehetővé teszi a támadók számára, hogy nyomon kövessék fertőzéseiket.
A rosszindulatú reklámkampányok mennyisége és kifinomultságának növekedése az elmúlt hónapokban nőt és a sikeresen alkalmaznak olyan kijátszási technikákat, amelyek megkerülik a hirdetések ellenőrzését, és lehetővé teszik számukra, hogy bizonyos típusú áldozatokat célozzanak meg.