Versiunea cu un troian a software-ului PyCharm livrat prin intermediul anunțurilor Google

A fost observată o nouă campanie de publicitate defectuoasă, care a profitat de un site web compromis pentru a promova versiuni false ale PyCharm în rezultatele căutării Google prin utilizarea anunțurilor de căutare dinamice.

„Fără ca proprietarul site-ului să știe, unul dintre anunțurile lor a fost creat automat pentru a promova un program popular pentru dezvoltatorii Python și vizibil pentru persoanele care efectuează o căutare pe Google”

a declarat Jérôme Segura, director de informații despre amenințări la Malwarebytes, într-un raport.

„Victimele care au făcut clic pe anunț au fost direcționate către o pagină web piratată cu un link pentru a descărca aplicația, care s-a dovedit a instala în schimb peste o duzină de programe malware diferite.”

Site-ul web infectat în cauză este un portal online fără nume, specializat în planificarea nunților, care fusese injectat cu malware pentru a servi link-uri false către software-ul PyCharm.
Executarea programului de instalare PyCharm are ca rezultat desfășurarea mai multor familii de stealer și loader, precum Amadey, PrivateLoader, RedLine, Stealc și Vidar, un potop care face sistemul infectat complet inutilizabil.

Conform Malwarebytes, țintele sunt direcționate către site-ul web cu ajutorul Dynamic Search Ads, o ofertă publicitară de la Google care utilizează în mod programatic conținutul site-ului pentru a adapta anunțurile direcționate pe baza termenilor de căutare.

PyCharm cu malware

„Atunci când cineva caută pe Google cu termeni strâns legați de titlurile și frazele utilizate frecvent pe site-ul dvs. web, Google Ads va folosi aceste titluri și fraze pentru a selecta o pagină de destinație de pe site-ul dvs. web și va genera un titlu clar și relevant pentru anunțul dvs.”

explică Google în documentația de asistență.

Prin urmare, un actor de amenințare cu capacități de a modifica conținutul site-ului web ar putea, de asemenea, să facă din campaniile publicitare un instrument profitabil pentru abuzuri, servind efectiv utilizatorilor Google Search anunțuri care pot avea ca rezultat un comportament neintenționat.

„Ceea ce s-a întâmplat aici este că Google Ads a generat în mod dinamic acest anunț din pagina piratată, ceea ce face ca proprietarul site-ului web să fie un intermediar neintenționat și o victimă care plătește pentru propriul anunț malițios”

a explicat Segura.

Această evoluție vine în contextul în care Akamai a detaliat infrastructura din spatele unei campanii sofisticate de phishing care viza site-urile de ospitalitate și clienții acestora.

„Campania este o amenințare globală, cu o cantitate notabilă de trafic DNS observată în Elveția, Hong Kong și Canada”

a precizat compania.

„Deși inițial s-a crezut că această campanie a fost activă doar din septembrie 2023, înregistrarea domeniilor arată că numele de domenii au fost înregistrate și interogate încă din iunie 2023.”

Via: thehackernews.com

Tradus și adaptat cu www.DeepL.com/Translator (free version)