Злоумышленники подсовывают вредоносный установщик браузера Arc для Windows

Злоумышленники подсовывают вредоносный установщик браузера Arc для Windows

Злоумышленники подсовывают вредоносный установщик браузера Arc для Windows

Новая вредоносная рекламная кампания, использующая Google Ads, взяла в оборот тему выхода браузера Arc для Windows. Клюнувшие пользователи получают троянизированный установщик.

Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.

В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.

На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.

Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.

 

Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.

 

Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».

 

Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных (функциональность C2). Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.

Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна.

Санкционный российский софт годами оставался в App Store и Google Play

Как выяснили исследователи из Tech Transparency Project, в App Store и Google Play остаются десятки приложений, связанных с компаниями и банками, находящимися под американскими санкциями. Среди них — сервисы российских финансовых организаций, включая Газпромбанк и Национальный стандарт, попавшие под санкции после февраля 2022 года.

По мнению юристов, размещение таких приложений нарушает требования Минфина США: американские компании не имеют права вести бизнес с организациями из санкционного списка. Тем не менее многие приложения спокойно существовали в маркетплейсах годами.

После обращения журналистов Google удалил почти все выявленные программы — включая ПО Газпромбанка, который, по данным властей США, использовался для закупки вооружения и выплат военным. Apple также убрала часть программ, однако компания заявила, что не считает все найденные случаи нарушениями, и пообещала усилить проверки.

 

Эксперты Tech Transparency Project отмечают, что меняющиеся названия компаний и приложений затрудняют соблюдение санкционного режима. Некоторые разработчики маскируют причастность к запрещённым организациям с помощью небольших правок в наименованиях или указания аффилированных юрлиц.

 

Для Apple ситуация особенно чувствительная: несколько лет назад компания уже столкнулась с претензиями Минфина за недостаточную проверку подобных приложений и обещала улучшить внутренние механизмы поиска санкционных совпадений. Теперь эксперты ожидают более пристального внимания регуляторов.

RSS: Новости на портале Anti-Malware.ru