Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Вероника Дубровская 18 Апреля 2024 - 15:32
...
Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Новая вредоносная рекламная кампания в Google подкидывает пользователю бэкдор под названием MadMxShell, используя кластер доменов, имитирующих легитимные IP-сканеры.

Исследователи из Zscaler ThreatLabz рассказывают, что злоумышленники зарегистрировали несколько доменных имен, близких по написанию к адресам популярных сайтов, и c помощью Google Ads, по ключевым словам, вывели эти домены в топ результатов поисковой системы. Хакеры рассчитывали на невнимательность жертв.

Пользователям открываются фиктивные сайты, содержащие JavaScript-код, который загружает на устройство вредоносный файл «Advanced-ip-scanner.zip» при нажатии кнопки загрузки.

В ZIP-архиве присутствует библиотека «IVIEWERS.dll» и исполняемый файл «Advanced-ip-scanner.exe». Последний использует метод сторонней загрузки DLL для заражения.

DLL-файл отвечает за внедрение шелл-кода в процесс «Advanced-ip-scanner.exe» с помощью техники, называемой «Process Hollowing» (внедрение в пустой процесс), после чего вредоносный EXE-файл распаковывает два дополнительных файла – «OneDrive.exe» и «Secur32.dll».

«OneDrive.exe», легитимный подписанный двоичный файл Microsoft, затем используется для боковой загрузки «Secur32.dll» и в конечном счете для выполнения шелл-кода бэкдора, но не раньше, чем он будет сохранен на хосте с помощью запланированной задачи и отключения антивируса Microsoft Defender.

Бэкдор предназначен для сбора системной информации, запуска команд через cmd.exe и выполнения основных операций с файлами, таких как чтение, запись и удаление файлов.

 

Стало известно, что было зарегистрировано 45 доменов в период с ноября 2023-го по март 2024 года, которые маскировались под известные программы для сканирования портов и управления ИТ, такие как Advanced IP Scanner, Angry IP Scanner, IP-сканер PRTG и ManageEngine.

Хоть это уже не первый случай заражения устройств пользователей через фиктивные сайты с помощью вредоносной рекламы, данная разработка впервые распространяет сложный бэкдор для Windows.

Компания Zscaler заявила, что пока ничего не известно о злоумышленниках и их намерениях, но уже есть зацепки в виде учетных записей, созданных на криминальных подпольных форумах. Ещё в июне 2023 года хакеры предлагали способы создания неограниченных предварительно финансируемых Google аккаунтов, что указывает на их заинтересованность в создании и запуске их собственной длительной кампании вредоносной рекламы.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Chrome для Android тестируют выдачу сайтам только примерной геолокации
Екатерина Быстрова 25 Ноября 2025 - 12:29
Android Домашние пользователи Защита персональных данныхЗащита мобильных устройствЗащита мобильных устройств Google
В Chrome для Android тестируют выдачу сайтам только примерной геолокации

Разработчики Android-версии Chrome тестируют более умный и аккуратный способ делиться геолокацией — теперь браузер может выдавать сайтам не точные координаты, а только примерное местоположение. Это не связано с системными настройками Android для приложений: речь идёт о новом уровне контроля именно над веб-сайтами.

Новую опцию для выдачи неточной геолокации отметили в версии Chrome 142.0.7444.171.

Она автоматически появилась у одного из тестировщиков, хотя другие не заметили нововведения, что намекает на A/B-тестирование. То есть Google пока экспериментирует с обновлённым диалогом разрешений.

Сегодня Chrome для Android получает доступ к точной геолокации через настройки приложения: достаточно зажать иконку браузера, открыть «О приложении», затем «Разрешения» → «Местоположение» и включить параметр «Использовать точное местоположение».

 

Можно и вовсе его отключить — тогда Chrome будет работать только с примерной локацией. Но такой подход ломает сайты, которым действительно нужны точные координаты — например, сервисы навигации.

Новая функция решает эту проблему: браузер может сохранить разрешение на точную геолокацию на уровне приложения, но выдавать сайтам только приблизительное местоположение, если вы так настроите логику.

 

Таким образом, сайты, которым достаточно знать ваш район, не получат конкретных координат, а тем, кто действительно требует точных данных, придётся запрашивать доступ отдельно.

Android давно поддерживает два уровня отслеживания геолокации: примерный (радиус около 3 кв. км) и точный. Многие приложения используют это через системные диалоги разрешений, но Chrome до сих пор не применял такую логику к веб-ресурсам.

Теперь это меняется. Функцию можно включить вручную через chrome://flags — именно там Google хранит экспериментальные настройки. После активации выбор «Примерное местоположение» ограничит сайты только вашей приблизительной зоной.

 

 

Google пока не объявляла о нововведении официально и не раскрывала сроки широкого запуска. Но раз эксперимент уже идёт, пользователи Android могут довольно скоро получить более гибкий и приватный контроль над тем, какие сайты видят их точное местоположение.

Пару недель назад мы сообщали, что в Android 16 появилась новая функция density-based coarse location — «приблизительное местоположение на основе плотности населения». Она работает просто: система проверяет, насколько густо заселён район, и если рядом мало людей, то делает координаты ещё более размытыми.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России родителей хотят обязать сообщать оператору о детских сим-картах
Новость
В России родителей хотят обязать сообщать оператору о детски...
Пиратские доходы: −20% в России, +12% в Беларуси за два года
Новость
Пиратские доходы: −20% в России, +12% в Беларуси за два года
В Кибер Бэкап 18.0 расширили поддержку Linux, увеличили производительность
Новость
В Кибер Бэкап 18.0 расширили поддержку Linux, увеличили прои...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.