Злоумышленники распространяют ПО Gootloader через Google Ads, заманивая пользователей бесплатными шаблонами юридических документов.
Мошенники размещают через Google Ads рекламу популярных и бесплатных юридических шаблонов. Пользователь ищет, к примеру, «шаблон соглашения о неразглашении» и переходит по рекламному объявлению злоумышленников из поиска.
Ссылка ведет на сайт вполне легитимный на первый взгляд домен lawliner[.]com с подключенной инфраструктурой Cloudflare. Там пользователя просят ввести адрес эл. почты, на который будет отправлен шаблон. Пользователь вводит адрес, на который направляется ссылка на файл в формате .docx, расположенный уже на стороннем сайте — https[:]//skhm[.]org. Жертва переходит по ссылке и загружает себе заархивированный JS-файл.
Как только пользователь распаковывает архив и запускает файл JavaScript, на его устройство загружается вредоносное ПО Gootloader. Оно создает отдельную задачу на выполнение мошеннический действий: запуск PowerShell-скрипта, который собирает информацию об устройстве пользователя, и посещение 10 скомпрометированных сайтов на WordPress.
Справка. Атака с использованием Gootloader была замечена и ранее — еще в 2014 году. Изначально программа входила в семейство вредоносных программ GootKit. В 2020 году его активность резко возросла.
Хакерская группировка, которая стоит за данной вредоносной кампанией, ранее уже замечена в атаках на высоко ранжируемые сайты по юридическим запросам в поисковых системах. Тогда они взламывали сайты на WordPress, которые находились высоко в ТОП-е по интересующим им поисковым запросам. Теперь злоумышленники перешли на заманивание пользователей через Google Ads, что позволяет им охватывать как можно больше потенциальных жертв.
Ранее мы писали о другой мошеннической атаке, при которой кибермошенники взламывали сайты на WordPress, перенаправляли с них трафик и размещали SEO-ссылки.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
