Злоумышленник был замечен в рекламе поддельного ПО в Google Ads
Если вы столкнулись с рекламой Google, которая рекламирует веб-сайт, на котором можно скачать известное или изобретенное программное обеспечение, будьте очень осторожны, так как это может быть просто вредоносной рекламной кампанией.
RomCom — это вредоносное программное обеспечение с бэкдором, которое может делать все, что угодно, от запуска cmd.exe до сброса дополнительных вредоносных полезных нагрузок на целевую конечную точку, от эксфильтрации данных со взломанных устройств до запуска AnyDEsk в скрытом окне, от сжатия и отправки папок на париджающие хакерские сервера, на настройку прокси через SSH.
Кроме того, RomCOM может делать скриншоты со взломанного компьютера, красть файлы cookie популярных браузеров, красть данные криптовалютного кошелька, сообщения чата, данные для входа и пароли.
Недавно исследователи кибербезопасности из Trend Micro обнаружили новую кампанию вредоносной рекламы, которая подталкивает RomCom к ничего не подозревающим жертвам. Злоумышленники создали ряд поддельных веб-сайтов для легального программного обеспечения, такого как Gimp, Go To Meeting, ChatGPT, WinDirSTrat, AstraChat, System Ninja, диспетчера удаленного рабочего стола Devolutions и других.
Цели в Восточной Европе
Затем они купили рекламные места через рекламную сеть Google для продвижения сайтов. Сообщается, что помимо рекламы Google злоумышленники также участвовали в «целевых» фишинговых атаках, направленных на жертв в Восточной Европе.
В то время как веб-сайты предлагают для загрузки различное программное обеспечение, жертвы на самом деле получают установщики MSI, зараженные вредоносным файлом DLL с именем InstallA.dll. Этот файл помещает в целевое устройство еще три библиотеки DLL, которые взаимодействуют с сервером C2 и получают дальнейшие инструкции.
Также исследователи объяснили, как злоумышленники стали использовать программный код VMProtec для защиты от антивирусных программ. Они также используют шифрование для полезной нагрузки. Кроме того, похоже, что программное обеспечение подписано законными компаниями, предположительно базирующимися в Северной Америке. Однако веб-сайты этих компаний «заполнены поддельным или плагиатным контентом», как обнаружил BleepingComputer.
Цели RomCom варьируются от кампании к кампании, далее сообщает издание, утверждая, что группа была замечена как в вымогательстве, так и в шпионаже.
«В любом случае это универсальная угроза, которая может нанести значительный ущерб», — заключает отчет.
Что такое Web 3.0? Самое подробное объяснение! Эта технология изменит весь мир!
Что такое Web 3.0? Самое подробное объяснение! ▻ Наш Telegram по заработку – https://t.me/instarding ▻ Наш Закрытый ...