Осторожно: это объявление Google может украсть ваши банковские данные без вашего ведома.

Дядя Влад

Киберпреступники слишком часто используют рекламу Google для продвижения своих вредоносных сайтов в начало страницы результатов. Последним примером является поддельный веб-сайт Homebrew , который использует информационного вора для кражи личных данных, истории браузера, данных для входа и банковских данных у ничего не подозревающих жертв.

Вредоносное объявление Google, замеченное Райаном Ченки на X и о котором сообщил BleepingComputer , даже отображает правильный URL-адрес Homebrew «brew.sh», поэтому нет реального способа обнаружить подвох, прежде чем нажать на него.

Всех, кто нажимал, реклама перенаправляла на клон сайта, размещенный по адресу «brewe.sh», показывая неверный URL-адрес. Согласно ответу на сообщение X от Логана Килпатрика из Google, реклама удалена — так что не беспокойтесь, если вы это читаете. Однако Ченки и многие из его комментаторов были удивлены и сбиты с толку способностью объявления отображать правильный URL-адрес, несмотря на то, что он не соответствует месту назначения ссылки.

Похоже, эта стратегия называется «клоакинг URL-адресов», и Google сообщил BleepingComputer , что это происходит потому, что «злоумышленники уклоняются от обнаружения, создавая тысячи учетных записей одновременно и используя манипуляции с текстом и маскировку, чтобы показать рецензентам и автоматизированным системам разные веб-сайты, которые обычный посетитель мог бы увидеть». видеть."

Очевидно, что предстоит проделать большую работу, чтобы обманом заставить Google сделать это, а это означает, что Google может быть сложно решить эту проблему. Прямо сейчас компания «увеличивает масштаб своих автоматизированных систем и людей-проверщиков», чтобы попытаться решить проблему, что, безусловно, звучит дорого.

Вполне возможно, что этот метод сокрытия URL-адресов значительно облегчает киберпреступникам атаку на такие веб-сайты, как Homebrew. Поскольку это система управления программными пакетами для macOS и Linux, ее аудитория в значительной степени гарантированно будет более осведомленной, чем средний онлайн-покупатель, и, вероятно, не попадется на рекламу, в которой явно отображается неверный URL-адрес.

Информационный вор, использованный в этой кампании, был идентифицирован исследователем безопасности JAMESWT как AmosStealer (также известный как Atomic), и он специально разработан для систем macOS. Вредоносное ПО, разработанное с использованием Swift, может работать на устройствах Intel и Apple Silicon и продается киберпреступникам по подписке стоимостью 1000 долларов в месяц.

Если вас беспокоят подобные кампании по распространению вредоносного ПО, есть несколько вещей, которые вы можете сделать, чтобы оставаться в безопасности. Во-первых, помимо проверки отображаемого URL-адреса объявления перед нажатием теперь рекомендуется проверять URL-адрес страницы после ее загрузки. Помните, что только один персонаж должен отличаться, поэтому убедитесь, что вы делаете больше, чем просто взгляните на него.

Еще один способ избежать распространения вредоносного ПО именно через рекламу Google — перестать нажимать на рекламу Google. Если вы ищете определенный сайт, обычная версия всегда будет включена в результаты ниже, поэтому просто пропустите рекламу и таким образом избежите проблем. В противном случае, если вы видите интересующее вас объявление, найдите название компании или продукта, который оно рекламирует, а не нажимайте непосредственно на объявление.

Наконец, если для вас это всего лишь одно из многих неудобств, связанных с Google, вы всегда можете подумать о том, чтобы отодвинуть Google на обочину. Поисковые системы, ориентированные на повышение конфиденциальности, такие как DuckDuckGo или Qwant в Европе, являются жизнеспособной альтернативой, если вы хотите попробовать что-то новое.