Google Ads используется для проведения изощренной кампании.
В последние недели специалисты Threat Down наблюдают всплеск вредоносной рекламы в Google, нацеленной на IT-специалистов. Кампания направлена на то, чтобы получить доступ к системам жертв и похитить конфиденциальные данные.
Исследования показали использование единой инфраструктуры для распространения двух вредоносных программ: MadMxShell и WorkersDevBackdoor. Самым интересным открытием стало то, что C2-сервер MadMxShell напрямую связан с инфраструктурой доставки WorkersDevBackdoor. Обе вредоносные программы способны собирать и похищать конфиденциальные данные, а также предоставлять начальный доступ для операторов вымогательского ПО.
Большинство вредоносных объявлений связано со сканерами IP и перенаправляет на инфраструктуру, которую исследователи назвали goodgoog1e. Название происходит от адреса электронной почты злоумышленника, который связывает все домены вместе.
Вредоносные рекламные объявления Google
Все цепочки заражений исходят от одного источника (goodgoog1e), но от различных рекламных аккаунтов. Одно из объявлений использовалось для доставки обоих вредоносных программ через домен «angryipo[.]org».
MadMxShell использует несколько обфусцированных скриптов для загрузки полезной нагрузки, включая сложный скрипт, создающий однострочник для автоматической загрузки. WorkersDevBackdoor размещается на Dropbox с вращающимися URL-адресами (Rotating URL), динамически загружаемыми через «azureedge[.]net».
В недавней кампании C2-сервер MadMxShell сменился с «litterbolo[.]com» на «getstorege[.]com». Домен «getstorege[.]com» был зарегистрирован на тот же адрес электронной почты, что и для инфраструктуры доставки обеих вредоносных программ.
Один из образцов WorkersDevBackdoor включал скрипт PowerShell, проверяющий наличие определённых программ, таких как RDP, TeamViewer и другие, чтобы определить, завершать ли установку вредоносного ПО.
Скрипты PowerShell, которые проверяют, подключен ли компьютер к домену, позволяют злоумышленникам избегать тревоги в песочницах или виртуальных машинах. Это хорошее напоминание о том, что файл, просканированный статически или даже запущенный в песочнице, может оказаться легитимным просто потому, что не были выполнены условия для его правильного выполнения.
Одно найти легче, чем другое. Спойлер: это не темная материя