Релиз Arc Browser для Windows был омрачён изощрённой фишинговой кампанией

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Каким образом сотни интернет-пользователей умудрились загрузить троянский браузер вместо легитимного?

Новая кампания по распространению вредоносного ПО через рекламную платформу Google Ads совпала с запуском веб-браузера Arc для Windows, что привело к заражению множества пользователей троянскими установщиками.

Arc Browser — новый веб-обозреватель с инновационным пользовательским интерфейсом, который отличает его от традиционных интернет-браузеров. После успешного запуска в июле 2023 года для macOS и множества положительных отзывов от технических изданий и пользователей, выход версии для Windows вызвал всеобщий интерес к данному продукту.

Интерфейс браузера Arc для Windows

Согласно недавнему отчёту компании Malwarebytes, киберпреступники хорошо подготовились к запуску Arc для Windows, заранее разместив серию злонамеренных объявлений в Google Ads, чтобы привлечь пользователей, нацеленных на загрузку нового веб-браузера.

Секрет их успеха прост: всё дело в том, что рекламная платформа Google уже давно имеет значительную проблему, позволяющую злоумышленникам размещать объявления с отображением легитимных URL, что ранее использовалось для атак на Amazon, Whales Market, WebEx и YouTube. Одну из таких атак мы в подробностях описали в прошлом году.

Исследователи Malwarebytes обнаружили рекламные результаты по запросам «arc installer» и «arc browser windows», демонстрирующие официальный адрес браузера Arc. Однако после клика по рекламе пользователи не попадают на официальный сайт, а перенаправляются на вредоносные домены, визуально напоминающие реальный сайт Arc.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Рекламная выдача, отображающая легитимный URL, но ведущая на сторонний сайт

Когда пользователь прошёл череду перенаправлений, домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит законно, многие пользователи банально не поднимают глаза в адресную строку.

  Шаг к разгадке тайн мироздания: Китай строит коллайдер нового поколения

Домен отличается после перехода по рекламной ссылке в Google

При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.

Этот троянский установщик использует API MEGA для совершения C2-операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.

В Malwarebytes также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.

Аналитики предполагают, что конечное вредоносное ПО во всех рассмотренных атаках является инфостилером, хотя это ещё не подтверждено окончательно. Поскольку настоящий браузер Arc, в конечном итоге, всё же устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.

Киберпреступники часто используют ажиотаж вокруг новых программ или игр для распространения вредоносного ПО. Чтобы избежать подобных атак, рекомендуется избегать любых рекламных результатов в поисковой выдаче как Google, так и в других поисковых системах. Использование проверенных блокировщиков рекламы позволит убить проблему на корню, так как банально скроет все рекламные ссылки в поисковой системе.

Кроме того, стоит всегда проверять подлинность того домена, с которого вы планируете загрузить какой-либо инсталлятор, даже если вы уверены, что изначально переходили на легитимный. Фокусы с подменой отображаемого адреса в поисковой выдаче Google делают даже технически подкованных пользователей особенно уязвимыми к подобному роду атак.

  Внутри протонного гало: точные измерения помогают решить ядерные головоломки

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий