Система дала сбой. Google прорекламировала сайт-подделку, имитирующую ее собственную программу

В течение многих лет злоумышленники ищут (и находят) способы опубликовать рекламу в поисковой платформе Google, которая имитировала бы известные сайты с программным обеспечением. Теперь от этого пострадала сама Google.

В новой рекламной кампании, обнаруженной командой Malwarebytes, злоумышленники создали объявления, которые показывают рекламу Google Authenticator при поиске этого программного обеспечения в поисковике Google.

Рекламное объявление, вопреки правилам, демонстрирует адрес «google.com» и «https://www.google.com» как свой URL-адрес. Нажатие на рекламу направляет пользователя на целевую страницу по адресу «chromeweb-authenticators.com», которая имитирует настоящий портал Google. Нажатие кнопки «Загрузить Authenticator» на этом сайте запускает загрузку файла «Authenticator.exe». Тогда запускается вредоносное программное обеспечение DeerStealer, которое похищает учетные данные, файлы cookie и другую информацию, хранящуюся в веб-браузере жертвы.

Google сообщила BleepingComputer, что заблокировала объявления, обнаруженные Malwarebytes. Объясняя, почему такое объявление удалось опубликовать на ее рекламной платформе, компания отметила, что злоумышленники избегают обнаружения, одновременно создавая тысячи учетных записей и используя манипуляции с текстом и маскировку, чтобы ввести в заблуждение ее автоматические системы.