Бесплатно Экспресс-аудит сайта:

28.05.2024

Релиз Arc Browser для Windows был омрачён изощрённой фишинговой кампанией

Новая кампания по распространению вредоносного ПО через рекламную платформу Google Ads совпала с запуском веб-браузера Arc для Windows , что привело к заражению множества пользователей троянскими установщиками.

Arc Browser — новый веб-обозреватель с инновационным пользовательским интерфейсом, который отличает его от традиционных интернет-браузеров. После успешного запуска в июле 2023 года для macOS и множества положительных отзывов от технических изданий и пользователей, выход версии для Windows вызвал всеобщий интерес к данному продукту.

Интерфейс браузера Arc для Windows

Согласно недавнему отчёту компании Malwarebytes , киберпреступники хорошо подготовились к запуску Arc для Windows, заранее разместив серию злонамеренных объявлений в Google Ads, чтобы привлечь пользователей, нацеленных на загрузку нового веб-браузера.

Секрет их успеха прост: всё дело в том, что рекламная платформа Google уже давно имеет значительную проблему, позволяющую злоумышленникам размещать объявления с отображением легитимных URL, что ранее использовалось для атак на Amazon, Whales Market, WebEx и YouTube. Одну из таких атак мы в подробностях описали в прошлом году.

Исследователи Malwarebytes обнаружили рекламные результаты по запросам «arc installer» и «arc browser windows», демонстрирующие официальный адрес браузера Arc. Однако после клика по рекламе пользователи не попадают на официальный сайт, а перенаправляются на вредоносные домены, визуально напоминающие реальный сайт Arc.

Рекламная выдача, отображающая легитимный URL, но ведущая на сторонний сайт

Когда пользователь прошёл череду перенаправлений, домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит законно, многие пользователи банально не поднимают глаза в адресную строку.

Домен отличается после перехода по рекламной ссылке в Google

При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.

Этот троянский установщик использует API MEGA для совершения C2 -операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.

В Malwarebytes также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.

Аналитики предполагают, что конечное вредоносное ПО во всех рассмотренных атаках является инфостилером, хотя это ещё не подтверждено окончательно. Поскольку настоящий браузер Arc, в конечном итоге, всё же устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.

Киберпреступники часто используют ажиотаж вокруг новых программ или игр для распространения вредоносного ПО. Чтобы избежать подобных атак, рекомендуется избегать любых рекламных результатов в поисковой выдаче как Google, так и в других поисковых системах. Использование проверенных блокировщиков рекламы позволит убить проблему на корню, так как банально скроет все рекламные ссылки в поисковой системе.

Кроме того, стоит всегда проверять подлинность того домена, с которого вы планируете загрузить какой-либо инсталлятор, даже если вы уверены, что изначально переходили на легитимный. Фокусы с подменой отображаемого адреса в поисковой выдаче Google делают даже технически подкованных пользователей особенно уязвимыми к подобному роду атак.