Вредоносная реклама в Google атакует желающих скачать Notepad++

Вредоносная реклама в Google атакует желающих скачать Notepad++

Вредоносная реклама в Google атакует желающих скачать Notepad++

Новая киберпреступная кампания, использующая рекламные объявления в поиске Google, атакует пользователей, которые пытаются скачать и установить популярный текстовый редактор Notepad++.

Система Google Ads и ранее использовалась для распространения вредоносных программ, которые привязывались к легитимному софту. Расчёт злоумышленников на невнимательность и доверчивость пользователей.

Новую кампанию заметили исследователи из Malwarebytes. По их словам, киберпреступники в течение нескольких месяцев беспрепятственно использовали текстовый редактор Notepad++ в качестве приманки.

Точно установить конечный пейлоад специалисты пока не смогли, однако есть предположение, что это Cobalt Strike. Если внимательно посмотреть на поисковую выдачу, становится очевидным отсутствие связи вредоносных URL с легитимным софтом:

 

Пройдя по такой ссылке, потенциальная жертва попадает на ресурс notepadxtreme[.]com, замаскированный под официальный сайт Notepad++.

 

При попытке скачать желаемый софт специальный JavaScript-сниппет проверяет цифровой отпечаток устройства, чтобы убедиться в отсутствии каких-либо аномалий (например, если пользователь зашёл из песочницы).

Если всё в порядке, жертве подсовывают скрипт в формате HTA, оснащённый уникальным идентификатором. Интересно, что пейлоад выдаётся лишь раз, а если попробовать второй раз загрузить его, юзер получит ошибку 404.

В Malwarebytes изучили упомянутый HTA, отметив, что в июле этот семпл уже загружали на VirusTotal. На тот момент в нём не было обнаружено вредоносной составляющей.

 

Напомним, в сентябре вышел Notepad++ 8.5.7 с патчами для четырех опасных уязвимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Белый список сервисов при отключении мобильного интернета расширят

Минцифры России объявило о расширении так называемого «белого списка» интернет-ресурсов, доступ к которым будет сохранён даже при временном отключении мобильного интернета по соображениям безопасности. В новый перечень включены 57 сервисов, среди них банки, социальные сети, маркетплейсы и СМИ.

Первая версия списка ресурсов, доступных при ограничении мобильного интернета, появилась 5 сентября. Уже к 8 сентября все федеральные мобильные операторы открыли доступ к этим сайтам, хотя и с особенностями.

Так, например, только Т2 обеспечивал работу «Дзена», а «Вымпелком» — мессенджера MAX. Поздно вечером 9 сентября «Коммерсантъ» опубликовал обновлённый вариант «белого списка».

В нём был расширен перечень банков, социальных сетей, ретейлеров и маркетплейсов, доступных при отключении мобильного интернета. Также в список включили ведущие СМИ («Комсомольская правда», «РИА Новости», «Лента.ру», РБК, «Банки.ру», IXBT), сервисы по подбору персонала, а также онлайн-букмекера «Фонбет».

Однако спустя два часа Минцифры опровергло эти сообщения:

«Готовится расширение списка сайтов, которые будут доступны в условиях ограничения мобильного интернета из-за угроз безопасности. Мы не подтверждаем распространившуюся в СМИ информацию о новом перечне сайтов и сервисов, которые будут доступны в режиме ограничений работы мобильного интернета — так называемом белом списке. По данным ряда изданий, в перечень якобы включён такой сайт, как „Фонбет“. Это не соответствует действительности, сайт букмекерской компании включать не планируют».

Ведомство уточнило, что обновлённая версия списка пока только формируется. В него планируется добавить, помимо ретейлеров, также онлайн-аптеки и расширенный перечень СМИ. Как подчеркнули в Минцифры, одним из ключевых критериев попадания ресурса в «белый список» станет его посещаемость.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru