Ekspertët paralajmërojnë se hakerat po fshehin murware brenda sistemit të reklamës së Google-it

Hakmarrësit dhanë një lidhje të vërtetë me reklamën e Google-it me sigurinë e ndërmarrjeve të kaluara kontrabandë

Kërkuesit e sigurisë në Internet po paralajmërojnë për një fushatë të malwareve që përdor infrastrukturën e reklamave në Google për të maskuar veprimtaritë keqdashëse.

Kërkimet nga Hantres gjetën se operacioni fillon me spam e-mails dashakeqe që mbajnë të bashkangjitur në HTML, të projektuar për t’i ridrejtuar përdoruesit drejt një zinxhiri infeksionesh me nivele të kujdesshme.

Fushata tërhoqi vëmendjen për shkak se procesi i ridrejtimit fillimisht kaloi nëpër reklama.klik.net, një vend legjitim reklamash në pronësi të Google-it dhe gjurmimit, i besuar gjerësisht nëpër sistemet e sigurisë.

Zinxhiri hardware fshihet pas infrastrukturës së besuar

Kjo metodë e ndërprerjes ka rëndësi sepse shumë porta elektronike dhe sisteme filtrimi të internetit rrallë i trajtojnë domenet ad të Google si destinacione të dyshimta ose potencialisht keqdashëse.

Lidhja në vetvete nuk përmbante pothuajse asnjë përmbajtje domethënëse përtej një ridrejtimi të fshehur të viktimave drejt infrastrukturës shtesë të kontrolluar nga sulmuesit.

Sapo përdoruesit bashkëvepronin me faqen, operacioni rindërtohej vetë në mënyrë dinamike duke përdorur të dhënat që ishin nxjerrë automatikisht nga adresa email e marrësit gjatë ekzekutimit.

Nëse përdoruesi shkarkon arkivin e lidhur, rrjeti i infeksionit zhvendoset me shpejtësi nga teknikat e inxhinierisë sociale në ekzekutimin e falware brenda Windows.

Firmosuni në buletinin Pro TechRadar për të marrë të gjitha lajmet, opinionin, veçoritë dhe drejtimin e biznesit tuaj duhet të ketë sukses!

Dosjet e shkarkuara mbështeten në JScript, PowerShell, ngarkimi reflektues .NET dhe metodat e ekzekutimit in-memory të projektuara për të reduktuar zbulimin.

Makware shmang lënien e dosjeve tradicionale ndërsa ekzekuton disa faza drejtpërdrejt brenda kujtesës aktive.

Kjo fushatë është e besueshme sepse shkon në kilometrat shtesë për të prodhuar marka të personalizuara, duke tërhequr automatikisht logon e kompanive nga burimet në internet.

Ai mbledh gjithashtu detajet e vendndodhjes dhe informacionin e kohës lokale, duke ndihmuar faqet mashtruese të duken më të besueshme për marrësit.

Studjuesit thonë se molware u përqëndrua shumë në vjedhjet

Hantresi identifikoi një sekuencë pesë-fazësh që përfshinte ridrejtues HTML, transportues të JScript, script-e PowerShell, komponentë .NET dhe aktivitete shtesë të fshehura për vendosjen e pagesave më pas.

Kontrollet e malwareve për mjediset e debug, sistemet e kutive të rërës dhe mjetet e analizës mjeko-ligjore përpara se të vazhdojë sekuencën e tij të ekzekutimit.

Nëse i zbulon këto mjete, i jep fund menjëherë aktivitetit të saj dhe disa herë i detyron sistemet e infektuara të rifillojnë pa pasur mesazhe të tjera paralajmëruese.

Për më tepër, malware ndërhyn në monitorimin e sigurisë Windows nëpërmjet modifikimeve vendase API që prekin AMSI dhe ETW direkt sistemet e telemetrisë.

Ajo përpiqet të fshihet duke injektuar kodin keqdashës në shërbimet e ligjshme të dhëna nga Microsoft, duke përfshirë Instalimin e Util.exe dhe MSBuild.exe më pas.

Kjo teknikë bën të mundur që operacioni të përziejë sjelljen keqdashëse brenda proceseve të besuara Windows, të cilat sigurimi i ndërmarrjeve globale i njeh si të ligjshme.

Ekziston gjithashtu një infrastrukturë komunikimi që mbështetet në shërbimet dinamike DNS dhe portet jostandarte të rrjetit të aftë për të ndryshuar me shpejtësi pasi kundërmasat mbrojtëse dolën gjëkundi tjetër.

Mulware mblodhi gjithashtu hollësi hardware nga sistemet e infektuara, duke përfshirë indentifikimin e procesorëve, produktet antivirusi, informacionin e mëmëve dhe pajisjet grafike të prodhuara nga Nvidia dhe AMD .

I gjithë operacioni duket i strukturuar për hyrjen afat-gjatë të paautorizuar sepse mekanizmat këmbëngulës në mënyrë të përsëritur rinisin proceset dashakeqe pas rinisjes së sistemit apo mbylljes së ngjarjeve.

Mjerisht, Hantresa nuk e identifikoi përfundimisht objektivin përfundimtar operacional. Megjithatë, struktura sugjeron përgatitjet për ndërhyrje të gjera të veprimtarive.

Ndiqni TechRadar në Google News dhe shtoni ne si një burim të preferuar për të marrë lajmet tona eksperte, rishikimet dhe opinionin në ushqimin tuaj.

Efosa ka mbi 7 vjet që shkruan për teknologjinë, fillimisht e nxitur nga kurioziteti, por tani është ushqyer nga një pasion i fortë për fushën. Ai mban edhe një doktoraturë në shkencë, e cila i dha një themel të fortë në mendimet analitike.

Duhet të konfirmosh emrin e ekranit para se të komentosh

Ju lutemi të dilni dhe pastaj të hyni përsëri, pastaj do t’ju kërkohet të shkruani emrin tuaj të ekranit.