Неможливо відрізнити: хакери зламують людей через рекламу в Google, як розпізнати загрозу
Справжні на вигляд сайти виявляються фейками, що поширюють "віруси" і програми-вимагачі. Жертвами нової схеми можуть стати й українці, кажуть у компанії Elit-Web.
Зловмисники обманом змушують людей завантажувати шкідливі файли, використовуючи рекламу в пошуковій системі Google. Розробники антивірусної програми Malwarebytes розкрили небезпечну схему на своєму офіційному сайті, а Фокус звернувся за подробицями до українських експертів.
Краще за справжнє: чим хакери заманюють жертв
Як зазначили дослідники, хакери часто наслідують відомі бренди через функцію, відому як шаблони відстеження — вона дає змогу змінювати налаштовувати кінцеву URL-адресу, яка використовується для переходу на цільову сторінку. Зловмисники можуть купити рекламу в сервісі Google Ads, щоб система показувала їхню сторінку на самій вершині пошукової видачі (навіть над оригінальним сайтом бренду). Фішингове рекламне оголошення може виглядати навіть переконливіше, ніж справжнє.
Malwarebytes помітила, що злочинці підняли цю схему обману на новий рівень, замаскувавшись під сайт менеджера паролів з відкритим вихідним кодом KeePass. Вони зареєстрували аналогічне міжнародне доменне ім'я з використанням Punycode, спеціального кодування для перетворення символів Unicode у формат ASCII — це дає змогу створити вельми точну візуальну копію, хоча, якщо дуже добре придивитися, можна помітити під літерою "k" маленький символ, що нагадує кому, — його можна сприйняти за порошинку на екрані.
Різниця між двома посиланнями візуально настільки тонка, що багато людей легко їх переплутають і, напевно, будуть ошукані — підробку просто неможливо відрізнити на око. Фейк містить офіційний логотип, URL-адресу і розміщується вище над посиланням на справжню сторінку KeePass.
Експерти звернулися до Google, і на момент написання матеріалу фальшива реклама зникла з видачі. Утім, зловмисники вже могли аналогічним чином замаскуватися під будь-який інший сайт.
Як працює і чим небезпечний фальшивий сайт
Користувачі, які натиснули на рекламне оголошення, перенаправляються на спеціальну службу, що відсіває ботів і всіх, хто не може стати жертвою атаки. Зловмисники створили тимчасовий домен, який виконує умовне перенаправлення в кінцевий пункт призначення. У випадку з KeePass сайт-обманка не є повною копією, але має досить переконливий вигляд.
Ось тільки замість потрібної програми під час натискання на відповідну кнопку завантажується інсталятор шкідливого ПЗ, що містить шкідливий код PowerShell, який належить сімейству "вірусів" FakeBat. Він взаємодіє із сервером управління і контролю, повідомляючи хакерам про "зараження" нової жертви, а потім допомагає їм вкрасти дані, завантаживши їх із пристрою.
Як пише портал Bleeping Computer, FakeBat — це різновид шкідливого ПЗ типу завантажувач (loader)/дроппер (dropper), пов'язаний із кампаніями зі шкідливої реклами принаймні з листопада 2022 року. Medium пояснює, що "завантажувачі" або "дроппери" — це віруси (трояни), які отримують початковий доступ, закріплюються на пристрої, а потім розгортають шкідливе ПЗ наступного етапу (включно з програмами-вимагачами). Вони можуть запускати і бути запущені іншими шкідливими програмами, включаючи такі самі.
Як не потрапити в пастку
Керівник відділу контекстної реклами українського агентства інтернет-маркетингу Elit-Web Владислав Захаревич розповів Фокусу, що така проблема справді існує, і на сьогодні з боку Google немає жодних ефективних рішень. Жителі України теж можуть постраждати від цієї схеми, хоча компанія поки не спостерігає масової тенденції в країні.
"Станом на сьогодні реально будь-яких рішень щодо цієї проблеми з боку Google немає. І дійсно потрапити на шахраїв може будь-який користувач, навіть найдосвідченіший і найуважніший. Особливо страждає сегмент аудиторії, який мало розбирається в пошуковій мережі", — підкреслив Владислав Захаревич.
Він додав, що зазвичай у таких випадках шахраї пишуть дуже привабливі тексти, часто навіть "нереальні", щоб викликати максимальний інтерес у користувачів. Тому для зниження ризиків краще не переходити за надмірно привабливими рекламними оголошеннями в мережі, особливо, якщо вони стосуються якогось виграшу або величезних знижок.
"Але якщо вже перейшли за посиланням, то уважно перевірте домен після переходу — чи не змінився він, чи не з'явилися зайві цифри, дефіси тощо. Напевно переконатися, чи справжній домен, по суті неможливо — він може мати абсолютно нормальний вигляд, але все одно нести загрозу. У таких випадках краще якомога швидше покинути сайт. А ще краще — завантажувати все тільки з офіційних або перевірених джерел", — порадив представник Elit-Web.
Слід враховувати, що рекламу в Google Ads може купити взагалі хто завгодно. Верифікується рекламний акаунт просто: фізособа або ФОП надає паспортні дані, юрособа — реєстраційні документи. Але небезпека в тому, що перші два-три тижні кабінет вільно працює без будь-яких підтверджувальних документів, та й після верифікації акаунта може пройти безліч часу, поки алгоритм пошукової системи не зрозуміє, що реклама допомагає поширювати шкідливе ПЗ.
"Може технічно виглядати все цілком пристойно, і реклама буде вільно і довго крутитися, поки на неї не надійде багато скарг. Google уже давно активно блокує сумнівні сайти, особливо якщо вони порушують його правила. Так само й оголошення із сумнівною обіцянкою та текстами загалом — регулярно блокуються. Тому тут від Google ми чекаємо тільки посилення механізмів контролю", — підсумував Владислав Захаревич.
Раніше попереджали, що хакери ГРУ РФ зламують українців через архіватор WinRar. Фахівці порадили оновити програму до останньої версії, щоб не підчепити "вірус".