Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kolejna fałszywa reklama w Google, tym razem MSI Afterburner

15 listopada 2022, 00:00 | Aktualności | komentarze 2
TL;DR – Ostatnio dużo fałszywych reklam w wyszukiwarce. Tym razem MSI Afterburner z malware pod fałszywą stroną.

Ostatnio pisaliśmy o fałszywym GIMPie oraz DBeaverze. Tym razem na naszej grupie na Facebooku kolega Michał podzielił się spostrzeżeniem w sprawie kolejnego ataku typu fałszywa reklama polegającego na wykupieniu przez przestępców reklamy w wyszukiwarce i wypozycjonowaniu na pierwszym miejscu fałszywej strony. W tym przypadku sfałszowaniu miało ulec narzędzie MSI Afterburner, czyli narzędzie do podkręcania parametrów (ang. overclocking) kart graficznych. 

Rys. 1. SEO poisoning MSI Afterburner.

Oryginalne narzędzie znajduje się na stronie https://download.msi.com. Jednak w wykupionej reklamie adres ten prezentował się tak: https://www[.]msi-aerburner[.]site, który natychmiast przekierowywał do strony https://rapidtac[.]net. 

Rys. 2. Oryginalna, prawidłowa strona pobierania narzędzia MSI Afterburner.

Rys. 3. Fałszywa, złośliwa strona pobierania malware.

Po kliknięciu przycisku “Download Afterburner” pobiera się plik z lokalizacji https://rapidtac[.]net/MSIBurner.zip ważący 15,79 MB o haszu SHA-256 22adf0d4a14e7349ed55178cd1919c39f4da178d9337bf79e2aef790169558a9.

W tym momencie zaledwie jeden producent wyświetla informację o szkodliwości opisanej jako Malware.SwollenFile!1.DDB4 (CLASSIC). Przyglądając się jednak plikom, jakie są spakowane w archiwum ZIP, odnajdujemy tam biblioteki libcrypto.dll, libssl.dll, updateredirector.dat, które są składnikami typowymi dla downloaderów i stealerów danych.

Rys. 4. Składniki spakowanego archiwum MSIBurner.zip.

Co ciekawe, istnieje także strona http://msi-aerburner[.]site bez certyfikatu SSL (czyli bez szyfrowanego https://), na której zwyczajnie wklejony jest bezceremonialnie artykuł z pcmag.com, jednak bez odnośnika do ściągnięcia narzędzia.

Rys. 5. Fałszywa strona bez certyfikatu SSL z wklejonym artykułem z pcmag.com 

Dlaczego istnieją takie ataki?

Google pozwala tworzyć reklamy z dwoma adresami URL: adresem wyświetlanym (ang. display URL) oraz adresem kierującym (ang. landing URL). Oba adresy nie muszą być jednakowe, lecz istnieje ścisła reguła związana z tym, że oba adresy muszą znajdować się w jednej domenie – jak tłumaczy dokumentacja Google Ad Managera. Czy w takim razie istnieje aktywny bug w ww. narzędziu lub istnieje ciche przyzwolenie na brak walidacji adresów? Google zostało poproszone o komentarz w wątku na Reddit, jednak nie uzyskano jeszcze oficjalnej odpowiedzi przy sprawie z fałszywym linkiem do narzędzia GIMP..

Zapraszamy wszystkich do zapisania się do naszej grupy. Na ten moment nie wiadomo, z czym mamy do czynienia (badamy temat), jednak z dużym prawdopodobieństwem kolejny raz pierwsze skrzypce odgrywa VIDAR stealer lub Racoon którego autor niedawno został zatrzymany.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. T

    U nas w firmie ostatnio była tak sytuacja, że ktoś wykupił reklamy w Google na naszą firmę, kierowały na dobry nasz adres, tyle, że z dodanym „www.” na początku. Dodatkowo metaopisy były poprzerabiane, jakbyśmy świadczyli usługi w Oławie, a nie we Wrocławiu. Po dwóch dniach reklamy zniknęły.

    Odpowiedz
  2. s

    Teraz pojawiły się nowe wersje reklamy: google pozycjonuje na pierwszych miejscach MSI Client i Beta relase.

    Odpowiedz

Odpowiedz