A rosszindulatú hirdetési kampányok évek óta célozzák a Google Search platformját. A támadók olyan legitim domaineknek tűnő hirdetéseket hoznak létre, amelyek bizalmat keltenek a felhasználókban. A Malwarebytes fedezte fel azt az új rosszindulatú kampányt, mely a Google Authenticator hirdetését jeleníti meg, amikor a felhasználók a szoftverre keresnek rá a Google keresőben. A hirdetés azért tűnik hitelesnek, mert kattintási URL-ként “google[.]com” és “https://www[.]google[.]com” szerepel benne, mely nem engedélyezett amennyiben harmadik fél hozza létre azt.
Hamis Google hitelesítő webhelyek
A hamis Google Authenticator hirdetésekre kattintva a felhasználó számos átirányításon keresztül jut el a “chromeweb-authenticators[.]com” céloldalra, amely valódi Google portálnak tűnik. Az ANY.RUN malware elemző cég szerint a kampányhoz tartoznak a következő hasonló nevű domainek is: authenticcator-descktop[.] com, chromstore-authentificator[.] com, és authentificator-gogle[.] com. Ezeken a hamis weboldalakon a “Download Authenticator” gombra kattintva elindítja a GitHubon tárolt “Authenticator[.]exe” nevű digitálisan aláírt fájl letöltését. A GitHub adattár neve “authgg”, a repo tulajdonosai pedig “authe-gogle” néven szerepelnek.
Az érvényes aláírás hitelesíti a fájlt a Windows rendszeren, potenciálisan megkerüli a biztonsági megoldásokat, majd figyelmeztetés nélkül lefut az áldozat eszközén. A letöltés után elindul a DeerStealer malware, ami megszerzi a hitelesítő adatokat, a cookie-kat és a webböngészőben tárolt egyéb információkat.
Ha le szeretnék tölteni a Google Authenticator szoftvert azt javasoljuk, hogy ne kattintsanak a Google Search kiemelt találataira, használjanak hirdetésblokkolót vagy vegyék fel azoknak a programoknak az URL-jeit a könyvjelzők közé, amelyeket gyakran használnak. A fájlok letöltése előtt győződjünk meg arról, hogy az URL cím megfelel a hivatalos domainnek. Ezenkívül a futtatás előtt mindig ellenőrizzük a letöltött fájlokat egy naprakész vírusírtó eszközzel.