Хакеры распространяют поддельную CPU-Z через подставной новостной сайт

Злоумышленники любыми способами пытаются похитить ваши персональные данные или ценнейшую информацию с ваших гаджетов. Вот и теперь на платформе Google Ads была обнаружена реклама «левых» сайтов с вирусной программой CPU-Z и инфостилером Redline. Вирусная активность была обнаружена исследователями Malwarebytes. Ранее мошенники уже использовали аналогичный метод распространения вирусов, но тогда это был Notepad++.

В случае обнаружения и запуска вирусной контекстной рекламы пользователь переходил на «левый» сайт внешне выполненных как оригинальный. На нем размещалась ссылка на загрузку популярного приложения CPU-Z, но с уже встроенным трояном. Пользователь даже не догадывался, что попадет на поддельный сайт, потому как использовался ряд редиректов, позволяющих обходить защиту Google. Таким образом, пользователь даже не догадывался, что загружает себе поддельное приложение.

Активность мошенников было довольно сложно обнаружить, потому как редиректы были последовательны по 9 сайтам и лишь после этого пользователь попадал на фальшивый сайт. На фальшивом сайте для пущей уверенности пользователя создавалась точная копия и предлагалось загрузить мобильное приложение. Такая уловка позволяла показать, что сайт якобы оригинальный, имеет большое количество положительных отзывов у приложения и совершенно бесплатно загрузить.

Но после того как пользователь попытается загрузить приложение, начнется скачивание файла с расширением MSI с вредоносным PowerShell-скриптом. А вот уже он содержит в себе вредоносное программное обеспечение FakeBat или EugenLoader.

Таким образом, на устройстве жертвы мошенники могли получить необходимую информацию, логины и пароли доступа, слить различные cookie из браузеров или приложений, ну и пароли доступа к криптокошелькам.

В данный момент все сайты уже закрыты, и компания Google разбирается с аккаунтами с которых осуществлялась работа мошенников.

Источник: https://www.malwarebytes.com