Недавно обнаруженный сервис киберпреступников под названием 1Campaign позволяет злоумышленникам запускать вредоносные объявления в Google Рекламе, которые остаются в сети в течение длительного времени, избегая при этом внимания исследователей безопасности.
1Campaign — это сервис маскировки (cloaking), который проходит проверку Google и показывает вредоносный контент только реальным потенциальным жертвам. Исследователям безопасности и автоматизированным сканерам демонстрируются безвредные белые страницы.
По данным отчета компании Varonis, занимающейся безопасностью данных, эта операция активна не менее трех лет и управляется разработчиком под псевдонимом «DuppyMeister».
«Инструмент проходит проверку Google, отфильтровывает исследователей безопасности и как можно дольше оставляет в сети страницы фишинга и крипто-драйнеров, направляя реальных пользователей на сайты, контролируемые злоумышленниками», — заявляют исследователи.
1Campaign предоставляет «клиентам» удобную панель управления, где они могут получить обзор своих операций и настроить параметры кампаний.
Платформа может фильтровать посетителей в режиме реального времени, направляя трафик на целевые страницы на основе заранее определенных критериев, включая географию, интернет-провайдера (ISP) и характеристики устройства.
Исследователи отмечают, что такой целенаправленный подход позволяет злоумышленникам сосредоточиться на пользователях в регионах, где фишинговая приманка актуальна, одновременно отсеивая трафик из стран с более высокой вероятностью проверки безопасности или сканирующей активности.
В одном из случаев Varonis зафиксировала агрессивную фильтрацию, которая заблокировала 99,4% из 1676 посетителей, обращавшихся к вредоносным объявлениям. Это соответствует показателю успеха всего 0,6%, или 10 посетителям.
Система оценивает каждого посетителя и присваивает ему оценку риска мошенничества от 0 до 100. Это отражает вероятность того, что посетитель является не подлинным, и определяется путем проверки деталей инфраструктуры, таких как облачные провайдеры, центры обработки данных, VPN и поставщики решений безопасности.
«Посетители из Microsoft Corporation, Google, Tencent Cloud Computing, OVH Hosting и других облачных провайдеров автоматически помечаются высокими оценками мошенничества и блокируются», — говорится в сегодняшнем отчете Varonis.
На основе диапазонов IP-адресов, ISP и поведенческих паттернов система также может определить, обращаются ли к вредоносным объявлениям сканеры безопасности.
Varonis обнаружила трафик, связанный с 1Campaign, распространяющийся в Соединенных Штатах, Канаде, Нидерландах, Китае, Германии, Франции, Японии, Венгрии и Албании.
Платформа киберпреступников также предлагает инструмент для запуска Google Ads, который помогает операторам запускать как вредоносные, так и безвредные кампании. Разработчик утверждает, что этот инструмент позволяет обходить ограничения политики Google и выдавать себя за легитимные бренды в рекламе.
Несмотря на то, что Google внедряет множество мер защиты, ее рекламная платформа по-прежнему используется для продвижения мошенничества, вредоносного ПО и крипто-драйнеров. Однако 1Campaign выделяется тем, что он специально разработан для запуска вредоносной рекламы, которая проходит автоматическую проверку Google и, вероятно, остается активной до тех пор, пока жертвы не сообщат о ней или пока кампания не будет отмечена вручную.
Такая система маскировки снижает эффективность статического сканирования URL-адресов. Varonis утверждает, что использование реалистичных отпечатков браузера и паттернов, имитирующих человеческое взаимодействие, даст лучшие результаты анализа и обнаружения.
Для автоматического обнаружения Varonis рекомендует ротировать разнообразный пул IP-адресов и конфигураций user-agent, чтобы избежать постоянного отслеживания по отпечатку.
Пользователям советуют избегать рекламируемых результатов поиска или, по крайней мере, относиться к ним с подозрением, а также добавлять в закладки официальные каналы распространения программного обеспечения.
Также рекомендуется дважды проверять URL-адрес в адресной строке перед вводом учетных данных или другой конфиденциальной информации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
